更新时间:2025-10-23
分布式XDR V2.0.42版本更新说明
1、8443控制台跟443控制台定位变化,从2.0.42版本开始8443控制台提供网络以及服务器运维相关的功能,443控制台提供XDR产品相关的业务功能,如安全告警分析;
8443控制台变化如下
| 一级目录 |
二级目录 |
变更说明 |
| 网络配置 |
接口设置 |
全新部署场景选择IPv4以及IPV6双栈场景支持配置IPv4以及IPV6地址 |
| 路由设置 |
全新部署场景选择IPv4以及IPV6双栈场景支持配置IPv6路由 |
| DNS设置 |
全新部署场景选择IPv4以及IPV6双栈场景支持配置IPv6地址 |
| 集群管理 |
集群设置 |
删除集群资源图以及部分页面布局修改 |
| 运维管理 |
操作日志 |
支持批量导出,支持按列排序 |
| 电源 |
页面UI布局修改 |
| 系统设置 |
通用配置 |
云端配置页面迁移到443控制台 |
| 数据存储 |
页面UI布局修改 |
| 恢复出厂设置 |
删除了配置备份与恢复 |
| 平台对接 |
新增平台对接功能供XDR以及GPT集群对接使用 |
| 个人中心 |
支持8443页面修改8443控制台的admin密码 |
443控制台变化如下
| 一级菜单 |
二级菜单 |
三级菜单 |
四级菜单 |
变更说明 |
| 安全监控 |
值守总览 |
/ |
/ |
1、删除告警总数统计下方的研判结论数据统计 |
| 报表 |
仪表盘 |
/ |
1、仪表盘列表展示中,删除“发布状态”,“发布位置”的列展示
2、仪表盘取消发布功能 |
| 检测响应 |
安全事件处理 |
/ |
/ |
1、简易模式默认搜索语句变更成:filter 加白状态 != "已加白" and 处置状态 in {"待处置","处置中"};不支持修改
2、默认时间范围变更为为:最近7天
3、时间框无记忆功能;
|
| 事件详情 |
/ |
1、新增调查授权,使用调查功能需要先开通“威胁智能调查”授权 |
| 安全告警分析 |
/ |
/ |
1、<全部告警>标签页,不支持修改默认查询条件
2、<全部告警>标签页默认搜索语句变更为:filter 加白状态 in { "未加白" } | filter not ( 处置动作 in { "处置完成\(标为误报\)" } )
3、默认搜索时间范围变更为:最近24小时
4、迁移代理IP配置功能到资产配置->特殊资产设置页面的“仅公网对内”功能
|
| 日志检索 |
/ |
/ |
1、日志类型默认搜索时间范围变更为:安全日志+流量审计日志范围
2、默认搜索时间范围变更为:最近7天 |
| 日志检索(beta) |
/ |
/ |
1、检索体验优化
2、检索性能大幅提升 |
| 资产中心 |
资产管理 |
/ |
/ |
1、新增资产智能推理功能,系统会根据当前信息对当前没有责任人、没有资产组、没有业务系统的资产智能推理出相关结果,便于进行资产管理
|
| 资产配置 |
特殊资产设置 |
/ |
1、原有的“管理ip范围”名称更改为“外网地址内用”
2、代理IP配置功能由告警页面迁移至资产配置-特殊资产配置-进公网对内页面
3、新增配置“公网与内网对内”配置功能
|
| 配置管理 |
基础配置 |
系统设置 |
集群设置 |
1、迁移到8443控制台集群设置页面 |
| 升级管理 |
1、迁移到8443控制台升级管理页面 |
| 网络配置 |
1、迁移到8443控制台网络配置页面 |
| 通用配置 |
|
1、443通用配置只留超时时间;
2、平台控制、端口控制、系统时间等功能迁移到8443控制台对应页面
|
| 通知设置 |
系统状态通知 |
1、新增24个通知项目,具体如下:
cpu风扇异常
主板电源异常
主板风扇异常
主板电压异常
主板温度异常
磁盘坏块
磁盘掉盘
磁盘CRC增长值超出阈值
磁盘重映射扇区错误
磁盘不可纠正的错误
磁盘温度过高
磁盘监控状态异常
GPU发生XID错误
内存ECC错误
内存UE错误
内存UE错误导致宕机
内存条不识别故障
PCIE发生全FF错误
网卡对应的PCIE发生内存配置空间错误
PCIE发生UE错误
RAID中磁盘状态异常
RAID超级电容异常
每天日志接入量降级告警
每天日志接入量超限告警
|
| 授权管理 |
/ |
1、新增威胁智能调查、资产智能推理、每天日志接入量、威胁情报授权项
2、GPT集群授权支持独立授权
|
| 自定义安全能力 |
数据分析 |
1、历史版本数据分析修改成数据分析
|
| 接入配置 |
产品接入 |
/ |
1、新增12种第三方设备的解析规则,删除1种重复的第三方设备解析规则
新增规则列表
TrendMicro(趋势科技) TippingPoint
SkyGuard(天空卫士) MAIL GateWay
Legendsec(网神) HIDS 统一服务器安全管理系统(虚拟化杀毒)
Venus(启明) 泰合信息安全运营中心系统—TSOCV3
Topsec(天融信) 天融信态势分析与安全运营系统TopSA
VRV(北信源) 内网安全管理系统
QingTeng(青藤) 天睿·RASP
Jump(捷普)态势感知系统V3
AsiaInfo(亚信) LinkOne安全管理平台
360(三六零) 安全大脑
Aliyun(阿里云) DNS
Gitlab(gitlab) Audit
2、Skylar(2023版)规则合并到现在的Skylar规则
|
| 级联配置 |
/ |
1、新增上下级平台的弹窗平台地址后面,增加提示:需要放通的端口,端口未放通进行连通性测试会提示IP:端口未放通
2、现在下级平台联动码下面新增文案提示联动码有效期
|
| 云端配置 |
/ |
1、有原先(网络连通->账号校验->云端连接) 改成现在(网络连通->云端连接)
|
| 开放性 |
开放共享 |
/ |
1、下载文档仅保留“数据开发文档”
2、新增2.0.42版本“数据开发文档”字段
|
| 应用中心 |
预案中心 |
预案管理 |
预案商城 |
1、预案模板界面左上方新增“预案商城”字样
|
| 流程工单 |
工单管理 |
全部工单 |
1、菜单名称更改为“工单管理”
|
| 人员管理 |
人员管理 |
1、菜单名称更改为“人员管理”
|
| 探针管理 |
/ |
/ |
1、新增“探针管理”菜单,支持在XDR上导入STA的规则库,通过XDR个STA下发规则库升级
|
| 全局功能 |
攻防百宝箱 |
/ |
/ |
UI样式变化
|
| 通知 |
/ |
/ |
UI样式变化
|
| 视角选择 |
/ |
/ |
UI样式变化
|
分布式XDR V2.0.40版本价值说明
- GPT智能解析
- 威胁情报在线云查
- 威胁情报新增在线云查功能,其能够实时获取云端侧最新威胁情报信息,客户可以基于最新线上情报进行告警分析与研判
- 关联分析支持自定义扩展字段功能
- 通过新增自定义扩展字段的功能,解决非安全日志标准字段的告警的举证和检索。
- 智能调查
- 展示当前事件的实体关联图+关键主机的上下文调查信息;
- 可以直接查看GPT调查溯源的最可能结果,完成对当前事件的入口点和潜在影响面的全网调查;
- 点击查看实体详情:支持用户点击单个实体直接查看实体详情页面;
- 资产智能推理
- 资产智能导入
- 业务系统管理功能
-
预案一键启用
- 自适应解封
-
级联对接
- 分布式XDR+分布式XDR模式,分支做资产、漏洞、告警/事件的数据上报,总部做统一的监测,工单协同;
-
数据质量分析
- 基于安全效果对第三方数据源的质量进行评级;将安全能力按照场景划分的方式,让用户明确第三方设备接入时,能够在XDR达到什么样的效果
- SOAR代理上网场景
- 分布式XDR支持通过代理服务器(如Nginx)接入互联网,该功能仅适用于预案中心模块,暂不支持其他模块,后续版本支持。可根据实际需求开启代理服务,并配置代理服务器的地址、端口及认证信息。
- 分布式XDR proxy代理
- 适用于多分支场景中,分支有多个第三方数据源需要对接到总部的XDR平台,并且总部的XDR平台不想对外映射数据接入端口;
- 适用于第三方数据源跟XDR之间存在网络隔离环境,两者网络不能直接访问到,需要通过中间设备进行中转,此处的中转设备用的就是Proxy管理平台;
- 适用于不想因为多个第三方数据源跟XDR进行对需要针对每一个第三方数据源单独开放网络策略的场景;
- 解决了分支网络经过出口网关设备SNAT之后多个第三方设备的出口数据源IP是一样的场景;
分布式XDR V2.0.35版本价值说明
- 安全运营GPT与XDR深度融合
-
- 新增安全事件解读,通过云端或本地GPT的分析,客户可以快速了解该事件相关资产的状态、威胁情报、恶意行为以及攻击定性,并最终给出处置建议和推荐预案进行处置。此外,事件解读可以对历史相似事件、近期资产攻击情况和告警聚合情况做出统计。
- 新增安全告警解读,云端或本地GPT可以协助客户分析该告警的资产状态、可疑行为、命令解读和攻击意图
- 新增辅助驾驶事件/告警解读功能,用户可以在事件和告警详情页面通过悬浮安全GPT助手获取该事件或告警的解读结果。
- 新增辅助驾驶引导式调查功能,用户可以在事件和告警详情页面通过悬浮安全GPT助手的威胁实体调查、近期高频告警、近期相似告警、近期威胁态势、关联同源同目的告警等按钮快速询问关联告警的详细信息,协助用户进行安全研判和防护。
- 新增辅助驾驶会话管理,用户通过悬浮安全GPT助手进入安全GPT对话框,可以快速选择关联前置场景进行提问和调查,或通过会话管理功能对当前对话窗口进行新建和重置。
2. 安全运营能力
-
- 优化告警聚合逻辑。针对已经处置过的安全事件,新增关联告警不会再追加到该事件中,会生成新的事件。
- 新增多面板功能,用户可以在安全告警页面增加/删除/修改告警面板并保存下来,方便后续使用。
- 新增相似性告警功能,用户可以在告警详情页面看到与该告警相似的安全告警,并针对同类告警进行处置。
- 新增全文检索功能,用户可以在日志检索页面不指定任何字段进行数据查询。
- 优化安全事件、安全告警等页面的搜索逻辑。用户可以通过IP范围和CIRD形式的IP段进行事件和告警的搜索。
- 新增安全事件、安全告警搜索历史记录查询功能。用户可以通过历史搜索记录查询。
- 优化安全事件、安全告警的资产icon,用户可以通过icon判断该资产的资产类型。
- 优化安全事件、安全告警的资产展示,用户配置了互联单位IP后可以显示单位名称。
- 优化SIEM模块的展示,用户自定义规则生成的告警举证,可以展示原始日志。
3. 响应处置能力
-
- 新增SOAR剧本参数设置,用户可以通过高级设置自定义SOAR基本的预案输入和预案输出,输入和输出包含数组、字典、应用、附件、文本等多种参数。
- 优化告警处置逻辑,用户可以通过多选告警同时对多条告警进行处置。
- 新增脆弱性通报、资产生命周期管理、预警场景、安全公告等工单模板,用户可以通过这些预置工单处理更多复杂场景。
- 新增SOAR剧本中的安全事件等级字段,用户可以通过SOAR剧本定制安全事件的等级。
- 优化现有SOAR执行效率,节点执行效率相较之前有大幅提升。
- 新增自动化处置预案商城功能,用户可以通过预案商城内置的自动化处置预案对不同类型的事件和告警进行联动处置。
- 新增辅助驾驶调用自动化预案功能,用户可以通过悬浮安全GPT助手进入安全GPT对话框,点击推荐的处置预案进行快速联动处置;
4. 自定义安全能力
-
- 新增自定义事件加白,用户可以在事件详情页面对该安全事件类似的事件进行加白。
- 新增安全事件名称修改功能,用户可以对已检出安全事件自定义名称。
- 新增自定义告警转事件,用户可以将任意告警定义为安全事件。
- 优化自定义IOC规则,允许用户通过IP范围和CIRD形式的IP段配置安全告警。
5. 安全检测能力
-
- 新增NAT会话日志审计,VSphere用户日志审计
- 告警聚合、事件更新能力提升
- 第三方接入提高排障和响应速率
- 终端第三方接入效率提升
6. 资产管理能力
-
- 提高资产、资产组导入导出上限,并支持异步等待结果
- 支持资产卡片展示自定义属性
- 支持资产名称、资产类型信息进行入库设置,支持通过资产标签进行退库设置
- 支持互联单位IP范围设置
- 在一个主机上有安装多个端的情况下,支持资产融合合并
7. 脆弱性管理能力
-
- 新增自定义漏洞报告导入功能,用户可以在页面上导入自定义漏洞
- 分布式XDR支持弱口令、漏洞数据上云,与MSS打通
8. 交付、运维、排障能力
-
- 新增虚拟化网络适配功能,在虚拟化部署场景下,用户可以配置使用云厂商提供的负载均衡功能。
- 新增webconsole功能,可以通过系统维护页面进行简单的Linux命令执行。
- 新增系统电源选项,运维人员可以通过电源选项对设备进行关机。
- 新增产品支持高可用,单一设备关机或者紧急故障时,产品仍可使用。
- 新增产品支持重置密码,运维人员忘记密码时可以寻回密码。
- 优化产品端口控制,运维人员可以通过系统设置页面修改SSH端口号。
- 优化集群扩容流程,技服可以自行进行标准设备扩容。
- 优化授权管理,设备在联网后可以自动进行授权。
分布式XDR V2.0.20版本价值说明
- 安全GPT辅助运营
- 安全GPT智能值守
- 安全GPT检测功能特性
- GPT检测能力:深信服安全GPT专注于检测与研判两个安全子场景。使用蒸馏的手段,不仅实现了模型的轻量化,任务的专一化,还能有效保留安全大模型对于HTTP协议,代码语义,资产信息的理解能力。目前已覆盖SQL注入,命令执行,Java代码注入,Java反序列化,PHP反序列化,目录遍历等多种Web攻击场景。并且,与传统引擎不同,深信服安全GPT不需区分Web底层语言,避免了人工设计特征的局限性,不需为每一种攻击设计专有模型,真正实现了使用一个模型,实现通用web攻击检测的目的。
- GPT研判分析能力:深信服安全GPT通过构建专有领域字表等方式,根据数据包中关键字段与上下文信息,使用专业术语,进行数据包的解读与针对性研判。
- 模型升级功能特性
分布式XDR V2.0.19版本价值说明
- 安全GPT能力
- 新增安全GPT授权,用户可以通过授权管理导入安全GPT功能授权
- 新增安全GPT自然语言对话功能,用户可以通过安全GPT进行资产统计、趋势分析、漏洞查询、安全百科查询、告警事件筛选等功能
- 新增安全GPT解读功能,用户可以通过安全GPT对事件、告警、恶意文件、情报等信息进行解读,并对当前的安全状况进行总结
- 安全事件、安全告警页面新增安全GPT研判功能,用户可以通过该按钮直接询问安全GPT
-
多分支场景能力
-
新增多分支模式,用户可以通过资产组配置不同的分支信息
-
优化账号权限,用户可以通过账号权限对不同的账号设置不同的分支权限信息
-
优化安全事件、安全告警等页面,用户可以通过切换不同分支查看当前分支的安全信息
-
优化资产管理、脆弱性管理等页面,用户可以通过切换不同分支查看当前分支的暴露面信息
-
安全运营能力
-
新增安全运营报告,用户可以通过手动或者自动导出自己一段时间内安全运营报告
-
新增多种默认工单模板,用户可以通过新的默认工单完成日常安全运营的闭环
-
新增SOAR对接自定义工单功能,用户可以通过SOAR剧本发起自定义工单
-
设备接入
- 新增一键联云功能,产品可以通过云端联动码一键接入云端,获取安全托管服务和云端增强检测能力。
- 新增深信服自有产品一键接入功能,深信服部分自有产品可以通过联动码一键接入XDR
- 新增深信服自有产品健康状态监控功能,用户可以通过XDR查看深信服自有产品的授权、资源占用等状态
- 优化现有深信服自有产品接入功能,用户可以通过配置支持NAT场景下的组件接入
- 开放性
- 新增自定义logo和说明,用户可以通过该功能修改产品默认logo和产品介绍信息
- 新增API对接文档,用户可以在应用商店中现在目前的API对接文档,方便用户进行数据对接
- 新增Kafka、syslog等方式进行数据外发,用户可以通过上述方式对接XDR引擎的安全事件、安全告警
- 新增多种第三方数据对接能力,现在XDR平台可以对多种第三方数据进行增强分析、关联聚合
- 新增第三方数据接入质量分析,用户可以了解第三方数据的接入日志情况以及XDR的增强分析能力
- 检测能力
- 新增AI自动解析,对新接入设备自动生成解析规则并替换,大幅提升三方接入效率
- 新增第三方日志深度理解能力,理解其威胁类型,二次检测其攻击载荷,安全效果赋能第三方
- 新增安全事件、安全告警数据对账,用户可以通过该功能观察产品数据的时延情况
- 优化现有安全事件、安全告警检索功能,支持搜索更多关键字段,详情见产品说明书。
- 端网关联、多阶段关联精准化检测能力提升 优化现有检测能力,多种热门攻击手法(钓鱼、情报)检测能力大幅提升
- 优化现有威胁定性能力,事件、告警等攻击手段的定性能力大幅提升
- 优化现有智能对抗逻辑,减少因智能对抗导致的误封
- 攻击面管理能力
- 新增手动脆弱性上传,用户可以手动上传第三方脆弱性监测报告并通过XDR进行展示
- 优化现有资产导入和检索逻辑,支持更多使用场景
- 新增多种第三方资产数据源,详情见产品说明书
- 系统运维
- 新增系统维护页面,用户可以在该页面查看设备运行状态、日志存储信息,数据备份信息和系统巡检信息
- 新增系统状态通知页面,用户可以通过配置设备状态阈值触发邮件告警和页面告警通知
- 新增系统日志-告警日志页面,用户可以查看当前阈值状态下的所有告警通知
- 新增全局告警通知功能,用户可以通过通知页面了解当前设备是否触发阈值
- 新增系统运行状态页面,用户可以通过该页面查看CPU、磁盘、内存、IO等资源使用情况。
- 系统稳定性
- 新增数据限流,在产品流量远大于产品规格时会对产品能力进行降级处理,大幅减少因为负载过高导致的系统故障
- 优化系统时间修改,大幅减少因为系统时间修改导致的系统故障
- 优化系统升级,大幅减少由于版本升级导致的系统故障
- 安全托管服务优化
-
优化现有安全托管服务对接逻辑,AF、EDR、SIP等产品可以同时对接线上线下双平台
-
优化现有数据上报能力,新增安全日志上报能力,MSS可以托管安全事件、告警、安全日志等
-
优化现有数据逻辑,支持多分支模式下托管单分支的场景
分布式XDR V2.0.18版本价值说明
1、XStream能力提升。
- 支持第三方网络设备数据包检测,提升第三方效果覆盖率。
2、工单模板配置优化
3、新增自定义Logo
4、新增系统运维页面
5、新增 安全GPT
6、升级流程优化
- 介绍升级流程 优化需求的基本信息,包括定义、价值描述、应用场景、功能描述及原理描述等。
7、支持上报安全日志到MSS
8、稳定性提升
9、XEN 网端关联
分布式XDR V2.0.15版本价值说明
- 数据分权/多分支
新增检测响应适配数据分权(告警、事件等)
新增联动响应适配数据分权
新增资产数据适配数据分权
新增openapi适配数据分权
新增soar数据适配数据分权
新增工单数据适配数据分权
新增统计数据适配数据分权(总览、大屏、报表)
- 交付需求
优化升级时间,从3小时优化到1小时左右
3.安全分析
【安全告警】搜索框要支持ip的全文检索
4.时效性
安全事件&安全告警增加时延统计字段
【时效性】分布式XDR数据湖支持日志对账系统
【时效性】与mss对接日志对账信息
分布式XDR平台支持排查时效性问题
5.优化
【交互】【资产到人】支持对接天擎接入终端资产和人员信息
【交互】【分布式】【工单融合】未知资产增加“发起工单”按钮,满足资产入库审核运营需求
【工单优化】工单详情字段,超出6个字换行展示,超出12字省略号展示
【工单优化】【前端】富文本,支持截图、复制粘贴图片
【工单优化】工单高级控件(事件、告警、脆弱性)展示增加相关简要属性
6.其他
规则库升级
SIEM第三方日志自动分类转化框架(第三方规则自动理解引擎)
7.SAAS XDR 530合入功能
总览重构改版
增加导航栏全览功能
处置响应,新增EDR下发IP+端口的封堵
优化智能响应为三种模式
【智能对抗】增加端侧IP封堵能力
新增自定义告警生成事件
支持根据资产组的IP属性进行筛选
资产组的新增或编辑中支持选择更多的IP属性
增加入库和退库自动规则,优化资产生命周期管理
体验优化:
-
- 资产管理支持批量编辑信息;
- 资产组变更更易用;
- 资产管理中资产台账、未知资产、历史资产都支持表格直接编辑
- 处置状态和终端接入状态的视觉样式更换
- 支持查看数据源具体设备名称
- 脆弱性风险视角导出的弱密码没有账号密码信息
- 弱密码补充展示相关举证信息
8.SAAS XDR 430合入功能
全局悬浮球增加帮助文档入口
支持SaaS XDR授权转换
隐藏智能运营平台锁住页面,并提供资产总览介绍
资产总览补齐web相关统计数据&增加跳转
资产责任人新增“备注”字段
资产管理支持导出组件上报的责任人信息
资产导出增加数据源信息
资产管理-资产详情 数据源要展示人工导入的资产
新增自定义威胁情报入口并新增威胁定性标签体验优化
体验优化
-
- 资产&脆弱性筛选框优化;
- 扫描结果为0值时进行展示优化;
- 资产管理页面资产组支持拖动修改列宽;
- 优化资产生命周期管理;
- 组件接入状态和异常提示文案优化;
分布式XDR V2.0.12版本价值说明
1. 自定义工单流程
新增自定义工单流程,用户可流程化处置安全事件/告警/脆弱性/资产等安全风险
新增内置5种常见工单流程
新增自定义用户组,可通过自定义用户组下发工单流程
新增邮件、短信通知方式,支持通过邮件、短信通知工单流程,提供内置邮件模板和短信模板
2. SOAR
新增SOAR模块,支持用户通过SOAR进行流程化的安全处置闭环
新增内置22个开箱即用的内置剧本
新增多种SOAR节点,支持自定义SOAR流程
新增支持对接数十种第三方应用
新增对接自定义工单流程,提供内置邮件通知模板,方便剧本日常运维
3. SIEM
新增对外提供KAFKA进行第三方数据接入
新增数据接入和分析扩容
4. 资产管理
新增对接AC的能力,可以对接账号进行人员定位
新增对接DNS服务器的能力,优化资产识别能力
新增对接第三方CMDB能力,可以导入第三方资产进行管理
新增认证信息同步页面,可以看到所有的AC认证信息
优化资产列表和资产卡片,可以看到资产的实时认证用户名
5. 第三方开箱即用
支持天眼、安恒、青藤、联软4款第三方安全效果“开箱即用”
告警/事件检测和消减能力:除自有组件外,可针对上述第三方进行告警聚合、告警/事件融合(和深信服组件)、第三方告警误报纠正
新增威胁定性(告警定性、事件定性),在日常运维和实战对抗场景实现快速自动化挖掘高价值事件
XEN网端关联及溯源能力-1:天眼、安恒、青藤、联软第三方组件可与深信服组件进行网端关联,并且具备一定的故事线还原能力
XEN网端关联及溯源能力-2:新增单主机多攻击阶段关联能力,大幅增强攻击还原度
6. 大屏
新增安全能力大屏,可以展示XDR少量精准的能力
7. 系统
新增自动补丁升级与规则库更新机制,确保系统安全与实时性
新增系统巡检功能,帮助用户更好的识别问题
新增对虚拟化环境部署的支持,兼容主流虚拟机平台
新增用户数据备份和恢复功能
优化目前导航栏的显示,新增快捷入口、30天待处置事件数字提醒等
优化平台的安全性,对平台的端口和链接进行收敛
优化目前的存储结构和中间件,增强系统稳定性
优化网络配置逻辑,实现对10GbE网络接口卡的兼容与支持
建议使用Chrome浏览器访问!
