可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","事件处置")}}

事件处置

更新时间:2024-08-12

针对安全事件的操作主要有标记状态、处置事件、加白名单、修改事件名称,分别为:

  • 标记状态:代表对安全事件进行状态标记,比如标为待处置、标为处置中、挂起、忽略等;
  • 处置事件
    • 一键遏制代表联动组件对安全事件中威胁实体进行快速遏制;
    • 发起工单代表根据预定好的工单流程实现自动化流转;
    • 执行SOAR代表根据事先定义好的剧本进行自动化事件响应;
    • 威胁根除代表联动组件对安全事件中威胁实体包括进程、注册表、WMI进行清除。 
  • 加白名单:对安全事件加白
  • 修改事件名称:支持对XDR事件名称进行修改

同样支持将鼠标移动至具体安全事件上右键对安全事件进行操作。

修改事件名称

选择一条事件,把鼠标放到事件名称上,点击“编辑事件信息”,修改事件名称和事件描述。

处置事件

一键遏制

一键遏制功能主要用于快速对安全事件中的威胁实体进行一键遏制,目前主要针对外网攻击者以及恶意域名进行一键遏制,使用端网能力一键处置关键实体,实现外部威胁不入内网,关键数据不出内网,保证内网安全。

在安全事件列表以及安全事件详情页使用该功能实现联动网络侧以及端点侧设备对威胁实体的快速处置,提高安全运营效率。目前该功能仅支持任意版本XDR联动AF 8.0.74版本、EDR 3.5.35及以上版本以及CWPP 3.3.39_B6及以上版本生效。

场景一:XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对威胁的一键遏制。

点击安全事件导航栏,勾选需要处置的安全事件,点击一键遏制,XDR平台会自动帮助你提取出外网IP以及恶意域名,在弹出窗口中默认网侧设备全选AF设备进行封堵,端侧设备默认不勾选,如您需要可以勾选主机,XDR会自动关联主机所处的端点侧设备,点击确定实现威胁的一键遏制。

其中外网IP地址以及域名默认勾选,主机默认不勾选,如果勾选主机,端侧设备会自动关联。

一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理菜单栏查看封堵详情。登录AF控制台查看前XDR联动封锁的外网IP地址以及域名,登录EDR控制台查看前XDR联动封锁的域名以及主机。例如查看联动网络侧设备(AF)设备封禁的地址信息如下图所示。

一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。