可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","资产体检")}}

资产体检

更新时间:2023-02-13

资产体检是指对资产进行评估和诊断的过程。资产体检的目的是识别资产的安全脆弱点,以便可以采取行动来修复这些问题,并保护关键资产。这一过程可以通过已经安装EDR/CWPP agent的资产进行检查,根据资产的维度呈现安全事件、安全告警、攻击面风险等多角度呈现问题,结合ATT&CK矩阵更好发现风险资产已知威胁和潜在风险。通过定期进行资产体检,组织可以提高其安全防御能力,并保护其关键资产不受网络攻击、数据泄露和其他安全威胁的影响。

点击风险管理->资产体检导航栏,点击立即体检(首次进入该导航栏点击去配置),勾选需要进行体检的资产列表,点击确定后即可进行资产体检,未安装agent的资产如果在勾选列表中,需要先安装agent后进行资产体检。

资产体检模型参考Gartner、痛苦金字塔模型及 GB/T 27921-2011 风险管理风险评估技术。体检过程总共分成四个阶段,分别为现存威胁检测、明确风险监测、潜在风险监测、异常信号检测。资产右上角会展示总共资产体检数,每个资产会实时展示资产体检进度。

体检完成展示资产风险等级,ATT&CK攻击图谱命中情况、威胁实体、攻击面以及潜在风险等项目统计信息。其中资产风险等级的对应关系如下表所示 

资产风险等级 状态描述
严重 存在未处置的严重、高危事件
高危 存在未处置的中危、低危事件;存在未处置的严重、高危告警;存在未处置的高修复优先级漏洞、弱密码
中危 存在未处置的中危、低危告警;存在未处置的中、低修复优先级漏洞;存在风险工具;存在风险端口
低危 存在异常访问行为;资产基线存在变动
健康 无任何风险项

点击右上角查看体检详情,体检详情主要包含以下几个部分,安全风险检测、威胁实体、安全漏洞、弱密码、风险应用、风险端口、风险访问以及异常信号,点击详细栏目查看具体检测信息。

PS:其中安全风险检测会自动将风险映射到ATT&CK攻击图谱(如安全风险不属于ATT&CK攻击图谱则不映射),点击具体的风险数字可以跳转对应的导航栏查看(如安全风险检测中初始访问,发现PHP代码注入的安全事件 2 ,安全告警 2 个,点击对应数字即可跳转到安全事件/安全告警页面并自动过滤出该2个事件/安全告警)。