安全事件是指深信服XDR检测到的您现网资产中存在的威胁,这些威胁通常是是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。
在安全事件导航栏支持以事件等级、事件来源、GPT研判结论、事件定性、标签、数据源以及处置状态进行初步筛选。
如果需要更精准进行过滤,XDR提供简易模式搜索,按照可视化编程,筛选关键字填入对应参数进行快速过滤,让您更容易上手使用。包括以下检索字段:
更多SPL语法参考链接
如果您具备安全基础或者熟悉使用深信服SPL语法,XDR同样也支持使用SPL语法过滤展示安全事件,安全事件处理导航栏选择专家模式,在输入框中输入话句表达式进行检索,您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句,方便您后续快捷使用该SPL命令。
点击SPL表达式输入框,SPL表达式一般以filter开头,衔接需要过滤的关键如名称、描述、事件ID等,将鼠标移动到关键字标签上自动显示关键字对应的中文释义。
此示例中选择名称关键字,选择完成关键字后,衔接运算符以及正则匹配,常见有in、like、rlike、=等运算符,并且每种运算符后都给出使用示例,如like运算符后参数填写格式为"*值*",需要注意的是SPL表达式均需要保持英文键盘状态输入。
在此示例中选择like运算符,比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确。
这样子就完成一次专家模式使用SPL表达式精确检索展示,SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件,or表示满足左右两个条件中至少一个。
在事件列表中,点击“...”可以配置字段是否展示,通过拖动字段调整展示顺序。
重要字段说明如下:
默认展示安全GPT研判结论,并提供分析过程、推荐处置预案;点击安全GPT助手,提供攻击解读、主机威胁态势调查、威胁实体调查等功能;
展示分析详情,包括以下内容:
XDR基于网络侧结合端点侧的全面数据分析,并结合智能分析规则,让安全事件检出更精准;基于攻击故事线的举证,能够简单有效的进行事件的根因分析、威胁实体提取和攻击入口还原,并提供省心的、易懂的处置建议,让事件研判分析处置更简单。
纯网络侧攻击故事线
XDR通过攻击故事线,展示故事线方向和告警类型,当有域名IOC时,优先展示IOC情报;通过故事线呈现详细发生过程,以及传播路径,感染对象内容。
展示安全事件关联告警,默认以时间轴进行排序,点击告警名称可查看告警详情
威胁实体聚合了安全事件关联多条告警的威胁实体,处置实体包括外网IP地址、内网IP地址、域名、主机、文件、进程,处置方式如下:
展示预案执行情况,需要人工处理点击“定位到待我处理”进行人工审核和填写。
展示工单执行情况,并可以处理工单。
针对安全事件的操作主要有以下几种,分别为:
同样支持将鼠标移动至具体安全事件上右键对安全事件进行操作。
一键遏制功能主要用于快速对安全事件中的威胁实体进行一键遏制,目前主要针对外网攻击者以及恶意域名进行一键遏制,使用端网能力一键处置关键实体,实现外部威胁不入内网,关键数据不出内网,保证内网安全。
在安全事件列表以及安全事件详情页使用该功能实现联动网络侧以及端点侧设备对威胁实体的快速处置,提高安全运营效率。目前该功能仅支持任意版本XDR联动AF 8.0.74版本、EDR 3.5.35及以上版本以及CWPP 3.3.39_B6及以上版本生效。
场景一:XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对威胁的一键遏制。
点击安全事件导航栏,勾选需要处置的安全事件,点击一键遏制,XDR平台会自动帮助你提取出外网IP以及恶意域名,在弹出窗口中默认网侧设备全选AF设备进行封堵,端侧设备默认不勾选,如您需要可以勾选主机,XDR会自动关联主机所处的端点侧设备,点击确定实现威胁的一键遏制。
其中外网IP地址以及域名默认勾选,主机默认不勾选,如果勾选主机,端侧设备会自动关联。
一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理菜单栏查看封堵详情。登录AF控制台查看前XDR联动封锁的外网IP地址以及域名,登录EDR控制台查看前XDR联动封锁的域名以及主机。例如查看联动网络侧设备(AF)设备封禁的地址信息如下图所示。
一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。
建议使用Chrome浏览器访问!
