可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","数据接入")}}

数据接入

更新时间:2023-12-20

在数据接入页面,可对接入数据源的连通状态、采集日志、解析日志情况进行管理。

[新增]数据数据源:

第三方数据源日志数据接入XDR平台允许使用Syslog、Kafka、SNMP Trap、FTP、SFTP等几种方式,其中Syslog接入方式为XDR被动接收其他数据源传过来的日志数据,Kafka接入方式为XDR主动消费其他数据源提供的Topic数据。如果使用Syslog接入,UTF-8编码方式使用的协议跟端口为:TCP514端口以及UDP514端口(优先使用TCP514端口),GBK编码方式使用的协议跟端口为:TCP515端口以及UDP515端口(优先使用TCP515端口);使用Kafka接入协议跟端口具体看Topic配置。

跨网代理需选择[配置关联/产品接入/代理配置]中在线的代理服务器名称。

3、选定接入方式之后配合XDR平台内置的解析规则以及编码方式,使其他数据源的原始日志数据在XDR平台上面可以正确解析展示。

图形用户界面, 文本, 应用程序, 电子邮件 描述已自动生成

4、最后通过XDR平台对其他数据源的原始日志数据进行富化,添加上归属地、网络位置、资产等字段后可以在日志检索中第三方日志中检索到。

图形用户界面, 应用程序 描述已自动生成

5、完成第三方数据源数据接入之后,XDR平台通过内置的数据分析规则将其他数据源的日志数据进行关联分析生成告警,内置解析覆盖扫描探测、暴力破解、网站攻击、漏洞利用、恶意软件以及C&C通信等。允许管理员通过原始日志数据自定义数据分析规则,生成自定义告警。

 

[复制]:复制目标数据源配置。

[删除]:删除目标数据源配置。

[启用]:启用目标数据源。

[禁用]:禁用目标数据源。

[连接异常配置]:数据源满足距离最近同步时间超过X小时(默认24小时)未上报数据将被判断为:未连通。

[代理下发配置]:通过跨网代理,下发数据采集的配置信息。

 

[解析规则]深信服XDR平台关联分析支持100+数据源接入,覆盖主流操作系统以及主流品牌安全设备。