安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.92
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","处置说明")}}

处置说明

更新时间:2024-09-04

SIP联动处置允许用户通过智能编排策略来开展安全运营工作,加速安全威胁响应,协助构建安全防御体系,大幅降低安全运营成本,综合提升安全团队作战能力,及时有效应对各类安全攻击。SIP产生事件之后,从新的事件列表中查询新的事件并根据[处置中心/响应策略管理]页面的响应策略进行匹配并进入自动化流程。响应策略根据编排的画布流程对相应的事件进行判断和动作执行,在流程中若涉及到调用第三方资源平台,来进行辅助处理的,则可通过应用管理中心调用相应的资源接口进行信息获取或者联动。

SIP联动处置功能涉及的主要模块如下表所示。

表13SIP联动处置功能主要模块说明

主模块

功能

解决的问题&好处

响应策略

动作

调用相应的应用资源进行信息查询或者处置响应,一方面节省人工去多个设备处理的复杂性,另外一方面也可以把处置变成自动化执行,提升响应效率。

策略

对事件或者流程的输出进行判断,区分不同结果所需要执行的后续行为,把人工的判断经验变成自动化,固化流程提升效率。

策略执行历史

记录各策略,一方面方便对策略进行调优;另外一方面方便审查和经验传承。

动作执行历史

记录每个联动处置的动作执行结果和过程,方便审计和回溯。

联动响应

应用分类

把各类可利用的资源抽象成单个的应用,方便管理,避免需要客户对接各种资源。系统已经对接了大量的安全设备、安全工具,基本实现即插即用。

实例管理

在每类应用中添加配置删除实例资源。