可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","相似性告警规则")}}

相似性告警规则

更新时间:2024-08-12

新增规则

新增终端类规则

点击“新增”,创建终端类规则(需要提前对告警进行分析),终端类型规则信息如下:

  • 规则名称:自定义规则名称
  • 规则类型:终端类规则
  • 规则模板:带有进程链的行为类告警、文件静态信息类告警、扫描爆破等其他类型告警
  • 相似性特征:当多条告警满足以下条件时,即可判定为相似:【日志规则ID】相同and【进程树整体相似度】and【威胁定性】相同and【检测引擎】相同
    • 支持配置指标:日志规则ID、进程路径相似度、命令行相似度、进程名称相似度、注册表名称相似度、进程树整体相似度、DNS节点、网络连接节点、二进制加载节点、驱动加载节点、远程线程行为节点、威胁定性、检测引擎
  •  生效范围告警配置指标:威胁定性、主机IP、主机IP资产组、告警名称、威胁三级分类、日志规则ID、攻击结果、访问方向、检测引擎、数据源-原始
  • 备注:非必填,不超过500字符

新增网络类规则

点击“新增”,创建网络类规则(需要提前对告警进行分析),网络类规则信息如下:

  • 规则名称:自定义规则名称
  • 规则类型:网络类规则
  • 相似性特征:当多条告警满足以下条件时,即可判定为相似:【源IP】相同and【目的IP】相同and【目的端口】相同
    • 支持配置指标:数据包相似程度、威胁定性、源IP、源IP资产组、目的IP、目的IP、资产组、目的端口、主机IP、主机IP资产组、X-Forwarded-For、资产类型、告警名称、威胁三级分类、日志规则ID、告警规则ID、攻击结果、访问方向、检测引擎、数据源-原始、URL、User-Agent、请求头等字段
  • 生效范围告警配置指标:威胁定性、源IP、源IP资产组、目的IP、目的IP、资产组、目的端口、主机IP、主机IP资产组、X-Forwarded-For、资产类型、告警名称、威胁三级分类、日志规则ID、告警规则ID、攻击结果、访问方向、检测引擎、数据源-原始、URL、User-Agent、请求头等字段
  • 备注:非必填,不超过500字符

规则管理

调整优先级

相似性告警规则有优先级排序,可以选中规则调整优先级,包括以下四种方式:

  • 置顶:将规则优先级调整到最高
  • 上移:向上调整规则优先级
  • 下移:向下调整规则优先级
  • 移动到指定位置:将规则移动某条规则之前或之后

规则执行操作

支持对告警相似性规则执行启用、停用、编辑、复制、删除操作。

规则检索

相似性告警规则支持通过以下几种方式进行检索:

  • 规则类别:终端类规则、网络类规则
  • 启用状态:启用、禁用
  • 字段:规则名称、规则ID、备注