安全事件是指深信服XDR检测到的您现网资产中存在的威胁,这些威胁通常是是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。
XDR基于网络侧结合端点侧的全面数据分析,并结合智能分析规则,让安全事件检出更精准;基于攻击故事线的举证,能够简单有效的进行事件的根因分析、威胁实体提取和攻击入口还原,并提供省心的、易懂的处置建议,让事件研判分析处置更简单。
XDR通过攻击故事线,展示故事线方向和告警类型,当有域名IOC时,优先展示IOC情报;通过故事线呈现详细发生过程,以及传播路径,感染对象内容。
在安全事件处理导航栏支持以24小时、7天等频率展示该统计时间安全事件结列表;支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全事件,在重保等关键时期,可以设置自动刷新频率,不需要人为手动点击,省去重复性点击动作,帮助您更好聚焦安全事件研判。
在安全事件导航栏支持以事件等级(严重、高危、中危、中危等)、事件定性(定向攻击、病毒事件、攻防演练、自动化攻击、 风险暴露、未定性威胁)、标签(事件标签如邮件攻击、账号爆破、流量异常等)、数据源(NDR、EDR、EDR&NDR)以及处置状态进行初步筛选。
如果需要更精准进行过滤,XDR提供简易模式搜索,按照可视化编程,筛选关键字填入对应参数进行快速过滤,让您更容易上手使用。
举例:如果需要在过滤来自办公网这个资产组的安全事件,在当前简易模式下,勾选所属资产组,过滤资产组支持字符串搜索,选择二级单位-A,点击确定。
如果您具备安全基础或者熟悉使用深信服SPL语法,XDR同样也支持使用SPL语法过滤展示安全事件,安全事件处理导航栏选择专家模式,在输入框中输入话句表达式进行检索,您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句,方便您后续快捷使用该SPL命令。
点击SPL表达式输入框,SPL表达式一般以filter开头,衔接需要过滤的关键如名称、描述、事件ID等,将鼠标移动到关键字标签上自动显示关键字对应的中文释义。
此示例中选择名称关键字,选择完成关键字后,衔接运算符以及正则匹配,常见有in、like、rlike、=等运算符,并且每种运算符后都给出使用示例,如like运算符后参数填写格式为"*值*",需要注意的是SPL表达式均需要保持英文键盘状态输入。
在此示例中选择like运算符,比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确。
这样子就完成一次专家模式使用SPL表达式精确检索展示,SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件,or表示满足左右两个条件中至少一个。
针对安全事件的操作主要有以下几种,分别为标记状态、一键遏制、发起工单、执行SOAR、以及威胁根除。其中标记状态代表对安全事件进行状态标记,比如标为待处置、标为处置中、挂起、忽略等;一键遏制代表联动组件对安全事件中威胁实体进行快速遏制;发起工单代表根据预定好的工单流程实现自动化流转;执行SOAR代表根据事先定义好的剧本进行自动化事件响应;威胁根除代表联动组件对安全事件中威胁实体包括进程、注册表、WMI进行清除。
同样支持将鼠标移动至具体安全事件上右键对安全事件进行操作。
在安全告警和安全事件列表中添加一个事件和告警的生成各个环节的耗时统计字段,点击这个字段能够看到各个环节的时延。
建议使用Chrome浏览器访问!
