可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","SOAR")}}

SOAR

更新时间:2024-01-17

SOAR(安全编排与自动化响应)通过将安全事件响应进行编排,实现对事件处置和告警像剧本一样的执行,可实现对安全事件的闭环处置,减少人员的干预和投入。安全工程师可以使用SOAR对事件、告警、脆弱性、漏洞等安全风险进行处置,并通过联动第三方应用进行流程化管理。

SOAR原理如下图所示

事件发生时,其处置流程如下:

  1. 用户通过“应用管理”模块安装需要应用后, 通过“剧本管理”模块配置剧本并上线。
  2. 当宿主机产生新事件或告警时,会通过API接口上报主动给SOAR, SOAR读取根据事件信息匹配符合的剧本,并通过“事件管理”模块将事件信息存放SOAR自身的数据库。
  3. 通过Kafka将匹配剧本与事件信息发送给“工作流引擎”, 引擎读取剧本配置获取待执行时的节点信息,通过Kafka发送给“任务执行引擎”。
  4. “任务执行引擎”接收工作节点信息,根据节点类型判断:
    • 若为内置节点如审批节点,决策器等,按对应模块进行执行
    • 若为动作节点则调用该应用脚本进行执行,应用执行是通过ssh/http与外部设备通信。
  1. 任务节点后会进行如下操作:
    • 将执行结果存放到数据库,并将执行结果通过Kafka传回给“工作流引擎”
    • 通过Kafka将执行结果发送给WebSocket,WebSocket将接收到上报给前端,刷新执行流程(非必须,若无主动更新需求,可去掉)
  1. “工作流引擎”接收节点执行信息后,作如下操作:
    • 若执行成功且存在未执行节点,重复步骤3
    • 若所有节点均执行完或节点执行失败,剧本终止执行,并下发结束信息给WebSocket模块(非必须)。