可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","如何新增数据源接入")}}

如何新增数据源接入

更新时间:2023-04-27

1、在[配置管理/关联分析/数据接入]页面,点击“新增”按钮,增加数据源。

2、第三方数据源日志数据接入XDR平台允许使用Syslog、Kafka、SNMP Trap、FTP、SFTP等几种方式,其中Syslog接入方式为XDR被动接收其他数据源传过来的日志数据,Kafka接入方式为XDR主动消费其他数据源提供的Topic数据。如果使用Syslog接入,UTF-8编码方式使用的协议跟端口为:TCP514端口以及UDP514端口(优先使用TCP514端口),GBK编码方式使用的协议跟端口为:TCP515端口以及UDP515端口(优先使用TCP515端口);使用Kafka接入协议跟端口具体看Topic配置。

3、选定接入方式之后配合XDR平台内置的解析规则以及编码方式,使其他数据源的原始日志数据在XDR平台上面可以正确解析展示。

图形用户界面, 文本, 应用程序, 电子邮件 描述已自动生成

4、最后通过XDR平台对其他数据源的原始日志数据进行富化,添加上归属地、网络位置、资产等字段后可以在日志检索中第三方日志中检索到。

图形用户界面, 应用程序 描述已自动生成

5、完成第三方数据源数据接入之后,XDR平台通过内置的数据分析规则将其他数据源的日志数据进行关联分析生成告警,内置解析覆盖扫描探测、暴力破解、网站攻击、漏洞利用、恶意软件以及C&C通信等。允许管理员通过原始日志数据自定义数据分析规则,生成自定义告警。