可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","自定义告警生成事件")}}

自定义告警生成事件

更新时间:2023-12-07

目前有客户认为XDR的安全事件是被XDR挑出来的,不是完整的,以及客户有自定义告警是需要关注需要生成事件,以及对于误报事件可以加白。针对以上三个痛点,新增自定义告警生成事件自定义规则。可以用户自定义规则,进行有效自定义配置。

用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。

用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。

 

配置实例

  • 在XDR【告警告警分析/告警列表】,选择告警点击鼠标右键,点击"自定义告警生成事件"

  • 默认填充告警类型,日志规则ID(无日志规则ID填充告警规则ID),源IP,源端口,目的IP,目的端口,MD5,URL,域名,如果这些字段为空值则隐藏。

  • N侧告警选择告警生成事件例子如下:

  • E侧告警选择告警生成事件例子如下:

 

用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。

用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。