安全管理员需要一种方法能够在分析安全事件时快速定位到资产责任人,这样在进行事件深入调研和处置时,可以快速与资产责任人取得联系和授权,提高处置效率,减少时间损耗。AC可与SaaS-XDR和分布式XDR进行联动对接,同步在线用户,实现资产人机对应。
实现效果
通过建立SaaS-XDR和AC联动对接,SaaS-XDR主动向AC发起获取在线用户信息请求(默认5分钟),实现资产人机对应。
前置条件
端口矩阵
| 方向 |
需要放通IP/域名 |
需要放通端口 |
用途 |
| AC->SaaS-XDR |
device.scloud.sangfor.com.cn device.sangfor.com.cn |
TCP443 TCP5000 |
|
| AC->SaaS-XDR |
dlauth.sangfor.com.cn |
TCP443 |
|
| AC->SaaS-XDR |
datalake.sangfor.com.cn |
TCP443 |
|
| AC->SaaS-XDR |
xlink.sangfor.com.cn |
TCP443 |
|
功能配置
步骤1.登录深信服云图https://x.sangfor.com.cn,在首页[安全产品/可扩展检测响应平台XDR]进入SaaS-XDR平台,在导航栏[配置管理/产品接入]中新增设备,“设备类型”选择AC后会自动生成配置(也可以自行修改),点击<复制认证信息并确定>。
步骤2.登录AC设备,在导航栏[终端行为安全/终端安全联动]点击“接入联动设备”,在接入联动设备中选择“设备账号、密码接入”,点击<粘贴认证信息>,将在SaaS-XDR复制的认证信息粘贴到此处,点击提交。
步骤3.在AC设备[终端行为安全/终端安全联动]中可查看AC和SaaS-XDR联动状态。
步骤4.在AC设备[系统管理/系统配置/高级配置/加入集中管理设置]中可查看AC加入云图状态。
步骤5.在SaaS-XDR平台[配置管理/产品接入]中可查看接入AC状态。
效果展示
步骤1.在AC设备[全网监控/入网用户管理]可查看已上线用户信息。
步骤2.未进行认证信息同步前,在SaaS-XDR导航栏[资产中心/资产管理]可查看资产“实时认证用户名”为空。
步骤3.在SaaS-XDR资产管理页面选择“认证信息同步”。
步骤4.点击“数据同步配置”,选择需要同步的AC设备,点击<确定>。
步骤5.点击“立即同步”后,SaaS-XDR向AC主动请求在线用户信息。
步骤6.在SaaS-XDR导航栏[资产中心/资产管理]可查看资产“实时认证用户名”为sangfor。
实现效果
通过建立分布式XDR和AC联动对接,分布式XDR主动向AC发起获取在线用户信息请求(默认5分钟),实现资产人机对应。
前置条件
端口矩阵
| 方向 |
需要放通IP/域名 |
需要放通端口 |
用途 |
| AC->分布式XDR |
分布式XDR集群业务口 |
TCP443 |
数据上报端口 |
| AC->分布式XDR |
分布式XDR集群业务口 |
TCP19666 |
长连接端口 |
功能配置
步骤1.登录深信服分布式XDR,在导航栏[配置管理/产品接入]中新增设备,“设备类型”选择AC后会自动生成配置(也可以自行修改),点击<复制认证信息并确定>。
步骤2.登录AC设备,在导航栏[终端行为安全/终端安全联动]点击“接入联动设备”,在接入联动设备中选择“设备账号、密码接入”,点击<粘贴认证信息>,将在分布式XDR复制的认证信息粘贴到此处,再填入分布式XDR的IP地址,点击提交。
步骤3.在AC设备[终端行为安全/终端安全联动]中可查看AC和分布式XDR联动状态。
步骤4.在AC设备[系统管理/系统配置/高级配置/加入集中管理设置]中可查看AC加入云图状态。
步骤5.在分布式XDR平台[配置管理/产品接入]中可查看接入AC状态。
效果展示
步骤1.在AC设备[全网监控/入网用户管理]可查看已上线用户信息。
步骤2.未进行认证信息同步前,在分布式XDR导航栏[资产中心/资产管理]可查看资产“实时认证用户名”为空。
步骤3.在分布式XDR资产管理页面选择“认证信息同步”。
步骤4.点击“数据同步配置”,选择需要同步的AC设备,点击<确定>。
步骤5.点击“立即同步”后,分布式XDR向AC主动请求在线用户信息。
步骤6.在分布式XDR导航栏[资产中心/资产管理]可查看资产“实时认证用户名”为sangfor。
注意事项
建议使用Chrome浏览器访问!
