可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.35
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","备份")}}

备份

更新时间:2024-07-08

安全告警是指深信服安全检测与响应平台XDR检测到的您现网资产中存在的威胁,这些威胁通常是某个恶意IP对您资产进行的攻击。

告警查看

分析多面板

XDR安全告警列表现现在配备了多个分析面板,提供灵活的筛选和过滤机制,使用户能根据组织组织的实际情况定制告警展示界面。这一设计不仅使告警的分类治理更加高效,也确保了关键告警能够获得优先处理。

GPT研判结论

需要部署运营GPT并开通授权

GPT针对每条会给出研判结论,结论包含以下:

  • 业务误报
  • 可疑行为
  • 有效告警
  • 潜在风险访问
  • 疑似攻击行为
  • 真实攻击成功
  • 等待GPT研判
  • 数据不足

 

告警定性 

告警定性可以帮助用户更好地了解安全威胁的类型、来源、影响等信息,从而提高用户的安全意识和防范能力,帮助安全管理员更好地了解安全威胁的特征和行为模式,从而加强安全防御措施,提高安全防御的准确性和效率,帮助企业更好地了解安全威胁的风险和影响,从而优化安全投入,提高安全投入的效益和回报。

安全告警的告警定性将安全分为8类,分别为:  

  • 定向攻击:定向的渗透行为、隐蔽的攻击行为,常见于部分活跃的勒索团伙、数据窃取、APT组织活动; 
  • 疑似定性攻击:疑似人工发起渗透行为
  • 病毒:常见的病毒、木马、蠕虫行为,例如:挖矿、僵尸网络、流氓软件、感染型病毒; 
  • 扫描器攻击:由工具类扫描器引发的告警,通常为攻击者的预先信息收集、漏洞验证行为,为后续攻击做准备; 
  • 脆弱性风险:由业务风险引发的告警,包含弱密码、未授权访问、未修复的漏洞等风险; 
  • 业务行为:由于业务存在一定特殊性导致命中安全检测规则,所产生的业务误报; 
  • 未知威胁:包含无法直接定性的威胁、历史遗留告警、未配置告警定性字段的自定义规则所产生的告警(可通过配置优化); 

重点关注

在安全告警分析导航栏下,点击页面中右侧齿轮状按钮,在弹出窗口中配置重点关注告警属性,包含资产、攻击结果、告警定性、告警类型、访问方向、是否关联事件。配置完成后,点击”仅看重点关注“,展开重点关注告警。

举例:比如重点关注资产有服务器资产,攻击结果为成功,告警定性为定向攻击,告警类型为全部、访问方向为全部,是否关联事件为已关联、未关联。

 

告警检索

在安全告警分析导航栏,支持以24小时、7天等频率展示该统计时间安全事件结果;支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全告警,在重保、攻防对抗等关键时期,可以设置自动刷新频率,省去重复性点击动作,结合过滤条件帮助您更好聚焦安全研判。例如间隔5分钟自动刷新XDR检出的严重等级安全告警。

在安全告警分析导航栏,支持以告警等级(严重、高危、中危、低危等)、告警三级分类标签(如脆弱性风险、邮件攻击、漏洞攻击等)、攻击结果(成功、失陷、尝试、失败)以及访问方向(无、内到外、外到内、内对内)等条件快速过滤展示,帮助您更聚焦目标时间段内高价值安全告警。例如过滤对10.33.97.100主机攻击结果为失陷的安全告警。

IP全文检索  

 

告警全文检索规则规格说明(含限制条件),目前支持的字段:源IP、目的IP、XFF、主机IP、URL
  • 目前护网安全运营等知道一个高危IP或者资产需要查看所有关于这个IP的影响面,需要指定源、目的IP等检索,效益低,易用性差。 
  • 用户可以在告警列表快速通过IP找到相关的数据,而不需要指定特定的IP去检索,只需要在专家模式输入任意IP,就可以全文检索告警列表所有的IP字段并命中相关结果 
  • 检索语法:专家模式输入框输入IP 如1.1.1.1,不要加双引号

IP支持模糊搜索

  • 安全告警分析专家模式,新增对安全告警的like和rlike检索支持;
    • 源IP、主机IP、目的IP支持like语句模糊搜索

    •  源IP、主机IP、目的IP支持rlike语句正则搜索

    •  like模糊搜索和rlike正则搜索语句拼接

安全告警搜索优化

  • 在安全告警页面搜索IP时,若存在多个IP,命中的IP放在首位展示。

 搜索之后,IP顺序发生改变,优先展示搜索过的IP。

 

告警详情

安全GPT分析

备注:需要部署运营GPT,并开通授权。

  • 提供网络侧安全告警,新增IPS、黑客工具、IOC安全告警的解读;提升了WAF类安全告警的解读能力、更多的类型安全告警的解读;

  • 前80%的安全告警,都支持安全GPT解读;

安全GPT助手

点击安全GPT助手,可弹出“攻击解读”、“相似告警调查”、“主机威胁态势调查”、“同源和同目的的访问调查”功能。

详情

展示告警字段信息(包括告警规则ID、告警三级分类、GPT研判结论、数据包内容)等信息

相似告警列表

展示近30相似告警总数,需要提前配置告警相似性规则。

日志列表

展示告警关联的日志列表信息,展示字段包括序号、记录时间、规则名称、规则ID、上报设备、威胁一级分类、威胁二级分类、源IP、目的IP、目的端口、攻击状态

告警字段

展示告警常规字段和IP域名信息。

预案执行记录

展示预案执行情况,并可以进行人工处置。

工单流程

可发起流程工单,展示流程工单流转情况和进行处置。

 

终端举证

安全告警检测引擎:NAE引擎,必须是N+E且带进程链的告警。NDR告警结合E侧进程链,展示进程链

    • 价值说明:单N侧的告警,无法研判是不是误报;这时候辅助一些端侧的信息(端侧的告警或者端的行为日志的进程信息),从而判断告警是不是误报。
    • 场景:对仅N侧生产安全告警,通过E侧信息,进行辅助判断是否为误判。
  • 在安全告警检索"检测引擎"为"NAE引擎"的告警,查看告警详情中的终端举证,辅助判断是否为误报

告警操作

针对安全告警的操作主要有以下几种,分别为添加标签、复制、规则配置、处置、标记、修改规则。

  • 添加标签:为告警添加研判标签
  • 复制:复制告警内容、复制源IP
  • 规则配置
    标记状态代表对安全告警进行状态标记,比如标为待处置、标为处置中、标为误报、忽略等;
  • 封禁地址、隔离主机、处置文件、信任文件分别代表联动组件执行具体处置动作;
  • 加白名单代表将告警的属性信息增加白名单;
  • 发起工单代表根据事先预定好的流程工单发起处置流程
  • 执行SOAR代表根据事先定义好的剧本进行自动化事件响应。
  • 自定义检测配置:支持自动IOC告警规则、自定义告警生成事件

同样支持将鼠标移动至具体安全告警上右键对安全告警进行操作。右键菜单栏内置小工具,如复制单元格以及复制整行支持快速将值复制到剪贴板,解码工具支持多种格式编码转换,省去手动打开解码网站进行Payload解码查看。

添加标签

选择一条或多条告警,为告警添加研判标签。标签包括有效告警、误报、待审核等,点击标签右侧的"..."可对标签内容和颜色进行修改。

在安全告警详情中,添加研判标签,可以设置标签的生效范围:

  • 生效范围:仅对当前告警生效、对相似性告警生效
  • 生效告警:近30天告警、未来告警

配置完成相似性告警规则后,告警详情中会增加一个告警相似性列表。

复制

选择一条或多条告警可复制告警内容或复制源IP,点击“复制告警内容”后侧的齿轮可自定义复制告警内容。

针对网侧告警和端侧告警可以自定义配置需要复制的内容,点击“详细指引”可以查看配置方法和效果。

规则配置

  • GPT研判结论调优

查看告警的GPT研判结论,如果结论不准确可以选择【规则配置/GPT研判结论调优】进行配置,调优策略可配置内容如下:

    • 告警类型:选择安全告警三级分类
    • 策略名称:自定义策略名称
    • 规则:可以增加日志规则ID、告警等级、攻击结果等安全告警字段
    • 生效主机:自定义主机、全部主机
    • GPT研判结论:真实攻击成功、病毒木马活动等
    • 同步调整24小时历史告警结论

  • 加白名单

对告警进行研判,如果存在误报,可以选择告警添加白名单规则,规则可配置内容如下:

    • 告警类型:选择安全告警三级分类
    • 规则名称:自定义规则名称
    • 规则:可以增加日志规则ID、告警等级、攻击结果等安全告警字段
    • 生效主机:自定义主机、全部主机
    • 加白时长:永久、7天、14天、自定义

处置

选择一条或多条告警进行处置,可处置动作包括:

  • 封禁地址:联动AF封禁IP地址、URL、域名
  • 隔离主机:联动EDR/AES隔离主机
  • 处置文件:联动EDR/AES处置文件
  • 信任文件:联动EDR/AES信任文件
  • 执行预案:针对告警发起已启用的预案
  • 流程工单:针对告警发起已启用的流程工单

封禁地址

处置告警的时候,点击封禁IP,支持自动填充需要封禁的IP、域名、URL,提高处置效率。

标记

选择一条或多条告警进行标记,可标记的动作包括:待处置、处置中、处置完成、误报、忽略。

修改规则

选择一条或多条告警修改规则,包括:

  • 自定义IOC告警规则:可通过配置自定义IOC告警规则, 提高告警检出的全面性和及时性;
  • 创建事件:将选中的一条或多条告警,立即转为安全事件;
  • 自定义事件规则:对未来符合条件的告警,转为安全事件

创建事件

对告警进行分析研判,判断告警攻击成功或主机失陷,但未生成安全事件,通过告警”创建事件“将告警转为自定义安全事件或关联事件。

自定义事件规则

  • 选择告警点击鼠标右键,点击"自定义事件规则"
  • 默认填充告警类型,日志规则ID(无日志规则ID填充告警规则ID),源IP,源端口,目的IP,目的端口,MD5,URL,域名,如果这些字段为空值则隐藏。

  • N侧告警选择告警生成事件例子如下:

  • E侧告警选择告警生成事件例子如下:

 

用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。

用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。