可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","事件检索")}}

事件检索

更新时间:2024-08-12

时间检索

  • 时间类型:最近发生时间、最早发生时间;
  • 时间范围:根据时间段进行安全事件检索,包括最近180天、最近30、最近7天、最近24小时、自定义;
  • 刷新间隔:支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全事件,在重保等关键时期,可以设置自动刷新频率,不需要人为手动点击,省去重复性点击动作,帮助您更好聚焦安全事件研判。

导航栏检索 

在安全事件导航栏支持以事件等级、事件来源、GPT研判结论、事件定性、标签、数据源以及处置状态进行初步筛选。

  • 等级:严重、高危、中危、中危、信息
  • 事件来源:专家狩猎、检测引擎、样例事件、自定义事件
  • GPT研判结论:真实攻击成功、病毒木马活动、真实攻击未成功、疑似攻击行为、误报等
  • 事件定性:定向攻击、病毒事件、攻防演练、自动化攻击、 风险暴露、未定性威胁
  • 标签邮件攻击、账号爆破、流量异常等
  • 数据源:NDR、EDR、EDR&NDR等
  • 处置状态:待处置、处置中、已遏制、处置完成、挂起、已忽略

简易模式检索

如果需要更精准进行过滤,XDR提供简易模式搜索,按照可视化编程,筛选关键字填入对应参数进行快速过滤,让您更容易上手使用。包括以下检索字段:

  • 名称、事件ID、描述、安全事件一级分类、安全事件二级分类、影响资产、最早发生时间、最近发生时间、设备来源、事件引擎、加白状态、所属资产组、事件规则ID、服务事件ID、处置执行方式

 

专家模式检索

更多SPL语法参考链接

如果您具备安全基础或者熟悉使用深信服SPL语法,XDR同样也支持使用SPL语法过滤展示安全事件,安全事件处理导航栏选择专家模式,在输入框中输入话句表达式进行检索,您可以点击表达式后方的五角星按钮保存当前的SPL搜索语句,方便您后续快捷使用该SPL命令。

点击SPL表达式输入框,SPL表达式一般以filter开头,衔接需要过滤的关键如名称、描述、事件ID等,将鼠标移动到关键字标签上自动显示关键字对应的中文释义。

此示例中选择名称关键字,选择完成关键字后,衔接运算符以及正则匹配,常见有in、like、rlike、=等运算符,并且每种运算符后都给出使用示例,如like运算符后参数填写格式为"*值*",需要注意的是SPL表达式均需要保持英文键盘状态输入。

在此示例中选择like运算符,比如说过滤冰蝎相关的安全事件。输入完表达式下方没有出现红色虚线代表表达式语法正确

这样子就完成一次专家模式使用SPL表达式精确检索展示,SPL表达式之间允许通过and或者or条件进行多条件查询。如and表示同时满足左右两个条件,or表示满足左右两个条件中至少一个。