更新时间:2024-07-08
安全事件是指深信服XDR检测到的您现网资产中存在的威胁,这些威胁通常是是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。
事件检索
时间检索
- 时间类型:最近发生时间、最早发生时间;
- 时间范围:根据时间段进行安全事件检索,包括最近180天、最近30、最近7天、最近24小时、自定义;
- 刷新间隔:支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全事件,在重保等关键时期,可以设置自动刷新频率,不需要人为手动点击,省去重复性点击动作,帮助您更好聚焦安全事件研判。
导航栏检索
在安全事件导航栏支持以事件等级、事件来源、GPT研判结论、事件定性、标签、数据源以及处置状态进行初步筛选。
- 等级:严重、高危、中危、中危、信息
- 事件来源:专家狩猎、检测引擎、样例事件、自定义事件
- GPT研判结论:真实攻击成功、病毒木马活动、真实攻击未成功、疑似攻击行为、误报等
- 事件定性:定向攻击、病毒事件、攻防演练、自动化攻击、 风险暴露、未定性威胁
- 标签:邮件攻击、账号爆破、流量异常等
- 数据源:NDR、EDR、EDR&NDR等
- 处置状态:待处置、处置中、已遏制、处置完成、挂起、已忽略
简易模式检索
如果需要更精准进行过滤,XDR提供简易模式搜索,按照可视化编程,筛选关键字填入对应参数进行快速过滤,让您更容易上手使用。包括以下检索字段:
- 名称、事件ID、描述、安全事件一级分类、安全事件二级分类、影响资产、最早发生时间、最近发生时间、设备来源、事件引擎、加白状态、所属资产组、事件规则ID、服务事件ID、处置执行方式
专家模式检索
如果您具备安全基础或者熟悉使用深信服SPL语法,XDR同样也支持使用SPL语法过滤展示安全事件,安全事件处理导航栏选择专家模式,在输入框中输入话句表达式进行检索,您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句,方便您后续快捷使用该SPL命令。
点击SPL表达式输入框,SPL表达式一般以filter开头,衔接需要过滤的关键如名称、描述、事件ID等,将鼠标移动到关键字标签上自动显示关键字对应的中文释义。
此示例中选择名称关键字,选择完成关键字后,衔接运算符以及正则匹配,常见有in、like、rlike、=等运算符,并且每种运算符后都给出使用示例,如like运算符后参数填写格式为"*值*",需要注意的是SPL表达式均需要保持英文键盘状态输入。
在此示例中选择like运算符,比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确。
这样子就完成一次专家模式使用SPL表达式精确检索展示,SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件,or表示满足左右两个条件中至少一个。
事件查看
在事件列表中,点击“...”可以配置字段是否展示,通过拖动字段调整展示顺序。
重要字段说明如下:
- 安全服务状态:展示MSS服务在发现风险、专家审核、跟踪处置、事件闭环环节的执行情况。
- 延时情况统计:在展示生成各个环节的耗时统计字段,点击这个字段能够看到各个环节的时延。
- 安全GPT助手:点击按钮可弹出“安全GPT助手”,帮助您了解平台情况、阶段性总结、安全研判、安全事件分析等内容。
事件详情
安全GPT分析
默认展示安全GPT研判结论,并提供分析过程、推荐处置预案;点击安全GPT助手,提供攻击解读、主机威胁态势调查、威胁实体调查等功能;
展示分析详情,包括以下内容:
- 关键告警分析
- 关联告警分析
- 内网最近7天发生同类事件数
- 当前资产近7天遭受攻击告警数
- 当前资产历史相似事件分析
- 资产信息
攻击故事线
XDR基于网络侧结合端点侧的全面数据分析,并结合智能分析规则,让安全事件检出更精准;基于攻击故事线的举证,能够简单有效的进行事件的根因分析、威胁实体提取和攻击入口还原,并提供省心的、易懂的处置建议,让事件研判分析处置更简单。
纯网络侧攻击故事线
XDR通过攻击故事线,展示故事线方向和告警类型,当有域名IOC时,优先展示IOC情报;通过故事线呈现详细发生过程,以及传播路径,感染对象内容。
时间线
展示安全事件关联告警,默认以时间轴进行排序,点击告警名称可查看告警详情
- 可以使用时间轴或告警列表两种方式查看。
- 点击“向前看”或“向后看”,可以进入全局调查,检索受害资产关联告警、日志等详情
威胁实体
威胁实体聚合了安全事件关联多条告警的威胁实体,处置实体包括外网IP地址、内网IP地址、域名、主机、文件、进程,处置方式如下:
- 联动AF对IP、域名进行封堵
- 联动EDR/aES隔离主机、处置文件、阻断进程
预案中心执行记录
展示预案执行情况,需要人工处理点击“定位到待我处理”进行人工审核和填写。
工单流程
展示工单执行情况,并可以处理工单。
事件处置
针对安全事件的操作主要有以下几种,分别为:
- 标记状态、一键遏制、发起工单、执行SOAR、以及威胁根除。
- 其中标记状态代表对安全事件进行状态标记,比如标为待处置、标为处置中、挂起、忽略等;
- 一键遏制代表联动组件对安全事件中威胁实体进行快速遏制;
- 发起工单代表根据预定好的工单流程实现自动化流转;
- 执行SOAR代表根据事先定义好的剧本进行自动化事件响应;
- 威胁根除代表联动组件对安全事件中威胁实体包括进程、注册表、WMI进行清除。
同样支持将鼠标移动至具体安全事件上右键对安全事件进行操作。
一键遏制
场景一:XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对威胁的一键遏制。
点击安全事件导航栏,勾选需要处置的安全事件,点击一键遏制,XDR平台会自动帮助你提取出外网IP以及恶意域名,在弹出窗口中默认网侧设备全选AF设备进行封堵,端侧设备默认不勾选,如您需要可以勾选主机,XDR会自动关联主机所处的端点侧设备,点击确定实现威胁的一键遏制。
其中外网IP地址以及域名默认勾选,主机默认不勾选,如果勾选主机,端侧设备会自动关联。
一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理菜单栏查看封堵详情。登录AF控制台查看前XDR联动封锁的外网IP地址以及域名,登录EDR控制台查看前XDR联动封锁的域名以及主机。例如查看联动网络侧设备(AF)设备封禁的地址信息如下图所示。
一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。