可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","自定义IOA规则")}}

自定义IOA规则

更新时间:2023-05-16

自定义IOA告警规则是指用户可以根据自己的需求,设置告警规则,用于监测网络中的资产情况,当网络出现问题时,可以立即发现并处理。设置的告警规则包括进程创建、文件创建、域名访问等。当XDR平台检测到您现网环境中存在可以匹配上的规则内容的威胁信息,将会生成对应等级的安全告警,并且将对应的进程链自动溯源后展示相关逻辑。目前该功能仅支持任意版本XDR联动EDR(3.7.2.578 以上版本生效)、EDR-探针版(3.5.35.107以上生效)

场景一例如您可以在自定义IOA告警规则中设置当发现业务人员在电脑上使用命令行查询域控相关信息时,识别为异常行为并触发告警。

点击配置管理->自定义告警规则导航栏,点击新增,新增自定义IOA规则,规则名称填写为用户查询域控相关命令执行,确定性等级选择高可信,告警等级为高危,适用系统为Windows,ATT&CK跟规则描述为选填,如下图所示。

规则定义处选择改规则所属分类为进程创建,父进程参数选择进程路径,运算符选择like(正则匹配),参数值为*cmd.exe*,子进程参数选择命令行参数,运算符选择like(正则匹配),参数值为*domain*

点击保存后,选择立即下发(立即生效,但30分钟内只能点击立即下发一次)或者周期下发(一个小时内生效)对应规则会实时下发到EDR控制端生效该规则。

当有业务用户终端(已安装agent)执行相关命令后,XDR平台检测到相关IOA告警,提示您该主机可能存在风险。

 

场景二:例如识别到业务服务器通过powershell下载可执行文件,这与正常行为不符,需要发出警报,提示该行为可能存在问题

点击配置管理->自定义告警规则导航栏,点击新增,规则名称填写为通过powershell下载可执行文件,确定性等级选择高可信,告警等级为高危,是用系统为Windows,ATT&CK跟规则描述为选填,此处填写为利用客户端执行以及业务服务器通过powershell下载可执行文件,如下图所示。

规则定义处选择改规则所属分类为进程创建,父进程参数选择进程路径,运算符选择like(正则匹配),参数值为*powershell.exe*,子进程参数选择命令行参数,运算符选择like(正则匹配),参数值为*.exe*

点击保存后,选择立即下发(立即生效,但30分钟内只能点击立即下发一次)或者周期下发(一个小时内生效)对应规则会实时下发到EDR控制端生效该规则。

当有用户终端(已安装agent)执行相关命令后,XDR平台检测到相关IOA告警,提示您该主机可能存在风险。