SIP与EDR联动可实现SIP检测到风险资产,联动EDR对主机进行联动隔离、访问控制、一键查杀、IOC取证。同时,EDR安全日志和资产可上报至SIP平台,由SIP进行集中分析。
联动条件
网络连通性:SIP需与EDR的TCP443端口通信,EDR管理端可与SIP的TCP7443端口通信;
版本要求:SIP需使用3.0.59及以上版本。
联动配置
SIP平台联动配置:
1.配置SIP接入EDR
登录SIP平台,打开[系统设置/设备管理],点击<新增>,如下图所示。
其中:
接入设备IP:请填写EDR管理端的IP地址
设备名称:可自定义易识别的设备名称
设备类型:请选择“终端安全管理系统”
联动通信端口:请填写EDR管理端控制台登录端口。
认证帐号和认证密码:定义联动帐号和密码,可以任意设置。
2.添加EDR应用实例
登录SIP平台,打开[系统设置/联动响应],点击<深信服终端检测与响应平台>,如下图。
点击<新增>,添加EDR应用实例,如下图。
其中:
请求地址:请填写EDR管理端的IP地址;
请求端口号:请填写7443;
用户名和密码:请填写步骤1中“配置SIP接入EDR”时设置的用户名和密码。
EDR平台联动配置:
登录EDR管理端,打开[系统管理/联动管理],点击<接入联动设备>,选择[使用设备账户、密码接入],填写设备类型、名称、IP及本机联动IP等信息,如下图。
其中:
设备类型:请选择[安全感知平台(SIP)]
设备名称:可自定义易识别的设备名称;
设备IP:请填写SIP平台的IP地址;
本机联动IP:填写EDR管理端可以和SIP通信的IP地址;
点击<下一步>,跳转至[信息上报]页,如下图,启用终端资产信息上报和安全日志上报至SIP平台。
联动效果
当SIP检测到已失陷主机时,可以联动EDR对主机进行联动隔离、访问控制、一键查杀、IOC取证。打开SIP[处置中心/风险资产视角],打开具体风险资产,点击<联动处置>,可以进行具体联动处置操作,如下图。
联动封锁可以在SIP上联动EDR下发对风险资产隔离,如下图配置。
访问控制可以在SIP上联动EDR下发对风险主机出站、入站流量进行控制,基于IP、端口进行控制,如下图配置。
联动下发病毒查杀可以在SIP上联动EDR对风险主机下发病毒查杀操作,可以下发快速查杀或全盘查杀,如下图配置。
当查杀发现威胁文件时,可从SIP联动EDR对威胁文件进行隔离操作,如下图。
4.IOA取证
当SIP检测到风险主机有恶意外联行为,可以根据外联的恶意域名或五元组信息自动联动EDR进行IOC取证,如下图。
5.安全日志上报
联动成功后,EDR将安全日志上报至SIP平台,实现集中分析与运营。可在SIP平台的[日志中心/日志检索/安全日志检索]页签下,通过选择对应EDR作为数据来源,实现EDR上报的安全日志查询与分析,如下图所示。
6.资产上报
联动成功后,EDR将终端信息上报至SIP,帮助用户进行资产管理。如下图,SIP资产中心中的资产来源为EDR上报。
点击资产主机名,能看到EDR上报的该资产的硬件、软件、开放端口等所有信息,如下图。
建议使用Chrome浏览器访问!
