可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","告警检索")}}

告警检索

更新时间:2024-08-12

在安全告警分析导航栏,支持以24小时、7天等频率展示该统计时间安全事件结果;支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全告警,在重保、攻防对抗等关键时期,可以设置自动刷新频率,省去重复性点击动作,结合过滤条件帮助您更好聚焦安全研判。例如间隔5分钟自动刷新XDR检出的严重等级安全告警。

在安全告警分析导航栏,支持以告警等级(严重、高危、中危、低危等)、告警三级分类标签(如脆弱性风险、邮件攻击、漏洞攻击等)、攻击结果(成功、失陷、尝试、失败)以及访问方向(无、内到外、外到内、内对内)等条件快速过滤展示,帮助您更聚焦目标时间段内高价值安全告警。例如过滤对10.33.97.100主机攻击结果为失陷的安全告警。

IP全文检索  

 

告警全文检索规则规格说明(含限制条件),目前支持的字段:源IP、目的IP、XFF、主机IP、URL
  • 目前护网安全运营等知道一个高危IP或者资产需要查看所有关于这个IP的影响面,需要指定源、目的IP等检索,效益低,易用性差。 
  • 用户可以在告警列表快速通过IP找到相关的数据,而不需要指定特定的IP去检索,只需要在专家模式输入任意IP,就可以全文检索告警列表所有的IP字段并命中相关结果 
  • 检索语法:专家模式输入框输入IP 如1.1.1.1,不要加双引号

IP支持模糊搜索

  • 安全告警分析专家模式,新增对安全告警的like和rlike检索支持;
    • 源IP、主机IP、目的IP支持like语句模糊搜索

    •  源IP、主机IP、目的IP支持rlike语句正则搜索

    •  like模糊搜索和rlike正则搜索语句拼接

安全告警搜索优化

  • 在安全告警页面搜索IP时,若存在多个IP,命中的IP放在首位展示。

 搜索之后,IP顺序发生改变,优先展示搜索过的IP。