更新时间:2024-07-08
安全告警是指深信服安全检测与响应平台XDR检测到的您现网资产中存在的威胁,这些威胁通常是某个恶意IP对您资产进行的攻击。
告警查看
分析多面板
XDR安全告警列表现现在配备了多个分析面板,提供灵活的筛选和过滤机制,使用户能根据组织组织的实际情况定制告警展示界面。这一设计不仅使告警的分类治理更加高效,也确保了关键告警能够获得优先处理。
GPT研判结论
GPT针对每条会给出研判结论,结论包含以下:
- 业务误报
- 可疑行为
- 有效告警
- 潜在风险访问
- 疑似攻击行为
- 真实攻击成功
- 等待GPT研判
- 数据不足
告警定性
安全告警的告警定性将安全分为8类,分别为:
- 定向攻击:定向的渗透行为、隐蔽的攻击行为,常见于部分活跃的勒索团伙、数据窃取、APT组织活动;
- 疑似定性攻击:疑似人工发起渗透行为
- 病毒:常见的病毒、木马、蠕虫行为,例如:挖矿、僵尸网络、流氓软件、感染型病毒;
- 扫描器攻击:由工具类扫描器引发的告警,通常为攻击者的预先信息收集、漏洞验证行为,为后续攻击做准备;
- 脆弱性风险:由业务风险引发的告警,包含弱密码、未授权访问、未修复的漏洞等风险;
- 业务行为:由于业务存在一定特殊性导致命中安全检测规则,所产生的业务误报;
- 未知威胁:包含无法直接定性的威胁、历史遗留告警、未配置告警定性字段的自定义规则所产生的告警(可通过配置优化);
重点关注
在安全告警分析导航栏下,点击页面中右侧齿轮状按钮,在弹出窗口中配置重点关注告警属性,包含资产、攻击结果、告警定性、告警类型、访问方向、是否关联事件。配置完成后,点击”仅看重点关注“,展开重点关注告警。
举例:比如重点关注资产有服务器资产,攻击结果为成功,告警定性为定向攻击,告警类型为全部、访问方向为全部,是否关联事件为已关联、未关联。
告警检索
在安全告警分析导航栏,支持以24小时、7天等频率展示该统计时间安全事件结果;支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全告警,在重保、攻防对抗等关键时期,可以设置自动刷新频率,省去重复性点击动作,结合过滤条件帮助您更好聚焦安全研判。例如间隔5分钟自动刷新XDR检出的严重等级安全告警。
在安全告警分析导航栏,支持以告警等级(严重、高危、中危、低危等)、告警三级分类标签(如脆弱性风险、邮件攻击、漏洞攻击等)、攻击结果(成功、失陷、尝试、失败)以及访问方向(无、内到外、外到内、内对内)等条件快速过滤展示,帮助您更聚焦目标时间段内高价值安全告警。例如过滤对10.33.97.100主机攻击结果为失陷的安全告警。
IP全文检索
- 用户可以在告警列表快速通过IP找到相关的数据,而不需要指定特定的IP去检索,只需要在专家模式输入任意IP,就可以全文检索告警列表所有的IP字段并命中相关结果
- 检索语法:专家模式输入框输入IP 如1.1.1.1,不要加双引号
IP支持模糊搜索
- 安全告警分析专家模式,新增对安全告警的like和rlike检索支持;
-
- 源IP、主机IP、目的IP支持rlike语句正则搜索
安全告警搜索优化
- 在安全告警页面搜索IP时,若存在多个IP,命中的IP放在首位展示。
搜索之后,IP顺序发生改变,优先展示搜索过的IP。
告警详情
安全GPT分析
备注:需要部署运营GPT,并开通授权。
安全GPT助手
点击安全GPT助手,可弹出“攻击解读”、“相似告警调查”、“主机威胁态势调查”、“同源和同目的的访问调查”功能。
详情
展示告警字段信息(包括告警规则ID、告警三级分类、GPT研判结论、数据包内容)等信息
相似告警列表
展示近30相似告警总数,需要提前配置告警相似性规则。
日志列表
展示告警关联的日志列表信息,展示字段包括序号、记录时间、规则名称、规则ID、上报设备、威胁一级分类、威胁二级分类、源IP、目的IP、目的端口、攻击状态
告警字段
展示告警常规字段和IP域名信息。
预案执行记录
展示预案执行情况,并可以进行人工处置。
工单流程
可发起流程工单,展示流程工单流转情况和进行处置。
终端举证
- 价值说明:单N侧的告警,无法研判是不是误报;这时候辅助一些端侧的信息(端侧的告警或者端的行为日志的进程信息),从而判断告警是不是误报。
- 场景:对仅N侧生产安全告警,通过E侧信息,进行辅助判断是否为误判。
- 在安全告警检索"检测引擎"为"NAE引擎"的告警,查看告警详情中的终端举证,辅助判断是否为误报
告警操作
针对安全告警的操作主要有以下几种,分别为添加标签、复制、规则配置、处置、标记、修改规则。
- 添加标签:为告警添加研判标签
- 复制:复制告警内容、复制源IP
- 规则配置
标记状态代表对安全告警进行状态标记,比如标为待处置、标为处置中、标为误报、忽略等;
- 封禁地址、隔离主机、处置文件、信任文件分别代表联动组件执行具体处置动作;
- 加白名单代表将告警的属性信息增加白名单;
- 发起工单代表根据事先预定好的流程工单发起处置流程
- 执行SOAR代表根据事先定义好的剧本进行自动化事件响应。
- 自定义检测配置:支持自动IOC告警规则、自定义告警生成事件
同样支持将鼠标移动至具体安全告警上右键对安全告警进行操作。右键菜单栏内置小工具,如复制单元格以及复制整行支持快速将值复制到剪贴板,解码工具支持多种格式编码转换,省去手动打开解码网站进行Payload解码查看。
添加标签
选择一条或多条告警,为告警添加研判标签。标签包括有效告警、误报、待审核等,点击标签右侧的"..."可对标签内容和颜色进行修改。
在安全告警详情中,添加研判标签,可以设置标签的生效范围:
- 生效范围:仅对当前告警生效、对相似性告警生效
- 生效告警:近30天告警、未来告警
配置完成相似性告警规则后,告警详情中会增加一个告警相似性列表。
复制
选择一条或多条告警可复制告警内容或复制源IP,点击“复制告警内容”后侧的齿轮可自定义复制告警内容。
针对网侧告警和端侧告警可以自定义配置需要复制的内容,点击“详细指引”可以查看配置方法和效果。
规则配置
查看告警的GPT研判结论,如果结论不准确可以选择【规则配置/GPT研判结论调优】进行配置,调优策略可配置内容如下:
-
- 告警类型:选择安全告警三级分类
- 策略名称:自定义策略名称
- 规则:可以增加日志规则ID、告警等级、攻击结果等安全告警字段
- 生效主机:自定义主机、全部主机
- GPT研判结论:真实攻击成功、病毒木马活动等
- 同步调整24小时历史告警结论
对告警进行研判,如果存在误报,可以选择告警添加白名单规则,规则可配置内容如下:
-
- 告警类型:选择安全告警三级分类
- 规则名称:自定义规则名称
- 规则:可以增加日志规则ID、告警等级、攻击结果等安全告警字段
- 生效主机:自定义主机、全部主机
- 加白时长:永久、7天、14天、自定义
处置
选择一条或多条告警进行处置,可处置动作包括:
- 封禁地址:联动AF封禁IP地址、URL、域名
- 隔离主机:联动EDR/AES隔离主机
- 处置文件:联动EDR/AES处置文件
- 信任文件:联动EDR/AES信任文件
- 执行预案:针对告警发起已启用的预案
- 流程工单:针对告警发起已启用的流程工单
封禁地址
处置告警的时候,点击封禁IP,支持自动填充需要封禁的IP、域名、URL,提高处置效率。
标记
选择一条或多条告警进行标记,可标记的动作包括:待处置、处置中、处置完成、误报、忽略。
修改规则
选择一条或多条告警修改规则,包括:
- 自定义IOC告警规则:可通过配置自定义IOC告警规则, 提高告警检出的全面性和及时性;
- 创建事件:将选中的一条或多条告警,立即转为安全事件;
- 自定义事件规则:对未来符合条件的告警,转为安全事件。
创建事件
对告警进行分析研判,判断告警攻击成功或主机失陷,但未生成安全事件,通过告警”创建事件“将告警转为自定义安全事件或关联事件。
自定义事件规则