首页帮助文档按产品找软件故障案例按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

可扩展检测与响应平台(SAAS XDR+GPT)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
可扩展检测与响应平台(SAAS XDR+GPT) 文档 产品手册 威胁响应 智能对抗 外部威胁实体分析
{{sendMatomoQuery("可扩展检测与响应平台(SAAS XDR+GPT)","外部威胁实体分析")}}

外部威胁实体分析

更新时间:2026-01-14

价值特性

  • 价值点1:大部分互联网攻击者/IP,都自动及时精准的封禁遏制,外网攻击难打进来和外联出去。
  • 价值点2:智能防误封:“事前引导 + 事中学习”防误封机制,规避和减少大面积误封发生;
  • 价值点3 支持按范围(如指定告警)、按模式(“仅观察”或“真对抗”)逐步开启,给予客户充分的信任感和控制力。 
  • 价值点4提供详细的封禁记录、误封时可快速排查与恢复业务,降低影响;

前置条件

  • 需要开通运营GPT授权
  • 必须优先配置响应白名单

模式设置

观测模式

  • 外部威胁实体分析-开启对抗模式,点击进入配置页面
  • 【告警实体提取-告警提取范围】,选择“[内置]全部告警”明确关注处置告警范围选择其他告警过滤条件
  • 【实体分析-业务地理位置】,默认配置“in”“全部”选择业务地理位置非业务区域的外部威胁实体会被判断为地理信息异常

对抗模式

  • 响应动作-模式选择对抗模式;
  • 响应动作-响应设备中,选择对应的网络设备、终端设备;
  • 响应动作-IP/域名封禁时长选择默认,临时封禁4小时;
  • 响应动作-封禁生效时段选择默认,全部时间段落。

日常运营场景

  • 用户进入智能对抗页面能直观的看到配置告警条件范围内的所有全网攻击者实体及其实体属性,如源IP、目的IP、XFF IP等能够清晰的看到对抗价值,包括智能对抗自动封禁了多少次外部攻击、每个被对抗的外部攻击者信息、封禁记录、持续时间等;

  • 用户能够清晰的看到每个被对抗的外部攻击者信息、AI智能误封分析AI封禁结论智能识别CDN业务访问实体不会进行封禁降低误封影响用户识别CDN IP实体直接加入白名单

 

自动对抗分析运营 

  • 外部威胁实体分析点选每个威胁实体,用户可以看到攻击者的详情,包括GPT分析结论、攻击影响面、攻击方法等,以上信息能够便于客户做定向攻击分析,威胁狩猎分析发现GPT分析实体结论不准确支持详情进行反馈
  •  

    智能识别CDN IP自动同步AI学习中心-环境学习-CDN节点IP卡片页面用户可以清晰看到所有智能识别CDN IP数据选择应用;

 

快速溯源和解封

  • 收到外部误封反馈,或主动运营发现误封实体用户简单快速外部威胁实体分析页面索定位误封的威胁实体支持一键批量解封;

  

  • 智能对抗封禁威胁实体支持响应管理封禁地址拦截域名查看清晰溯源实体封禁时间联动设备支持进行批量解封