可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","自定义IOC规则")}}

自定义IOC规则

更新时间:2024-01-05

IOC (Indicator of Compromise) 告警是通过识别特定的恶意指示来监测网络安全威胁的一种方式,自定义IOC告警规则允许用户根据业务需求定义告警规则,如果XDR检测到与自定义规则匹配的IOC规则,就会触发相关告警,以帮助企业及时识别并处理安全威胁。

场景一:在重保场景中,防守方一般会共享一些实时威胁情报以便更好的进行防守工作,但对于该场景中,防守方需要面对多种多样的安全设备,需要对所有的安全设备逐个进行下发自定义情报,步骤繁琐,通过XDR平台可以实时联动安全设备下发自定义情报,实现一次下发所有联动设备均生效,简化了安全运营工作。

点击配置管理->自定义告警规则导航栏,点击新增,新增自定义IOC规则,规则名称填写为自定义情报-20221030,告警定性选择攻防演练,确定性等级选择高可信,告警等级为高危,告警三级分类为HTTP隧道,如下图所示

规则定义处所属分类为网络连接,网络属性为目的IP,将情报地址填入,支持批量导入。 

点击保存后,选择立即下发(立即生效,但30分钟内只能点击立即下发一次)或者周期下发(一个小时内生效)对应规则会实时下发到EDR控制端生效该规则。

当有业务用户终端(已安装agent)执行相关命令后,XDR平台检测到相关IOA告警,,并为告警打上"攻防演练"的威胁定性标签,提示您该主机可能存在风险。

 

场景二:

点击配置管理->自定义告警规则导航栏,点击新增,新增自定义IOC规则,规则名称填写为浏览器访问挖矿域名,告警定性选择病毒,确定性等级选择高可信,告警等级为高危,告警三级分类为挖矿,规则定义处所属分类为URL访问,将情报地址填入,支持批量导入,如下图所示

点击保存后,选择立即下发(立即生效,但30分钟内只能点击立即下发一次)或者周期下发(一个小时内生效)对应规则会实时下发到XDR引擎生效该规则。

当有业务用户终端(已安装agent)执行相关命令后,XDR平台检测到相关IOC告警,并为告警打上"病毒"的威胁定性标签,提示您该主机可能存在风险。