XDR平台+组件+GPT构成的AI安全运营方案,以威胁运营为核心,帮助客户构建常态化的资产运营、威胁检测与智能对抗的闭环运营能力。由于涉及到多组件的联动,不同的客户环境数据下,安全效果输出并不是即插即用稳定输出,必须经过配置调优后,才可保证方案的安全效果输出。
如下图所示,平台+组件+GPT在“威胁管理”上的功能逻辑如下。
1)XDR平台采集多方日志,N(网络)+E(终端)+其他(网络或系统)。其中,N+E的日志最重要,质量要求高,且最好N和E的日志都有。自有组件的质量优于三方组件,但三方组件中,也有能达到80%效果的,如网侧的天眼、安恒APT,终端侧的青藤、亚信安全。另外,其他日志,用来补充日志量,检测效果一般。 注:哪些三方组件效果好,哪些效果一般,请查阅链接:三方产品接入
2)XDR平台支持与多方组件联动,实现一键遏制(自有组件)、联动响应功能。可配合soar剧本实现自动化流程。其中,自有组件联动效果好;三方组件需要通过soar调用。
3)GPT赋能XDR在增量检出、告警研判场景下,将威胁检测和分析的能力水平大幅提升,让检出更准确,极大的释放客户研判的压力和精力,让安全运营更容易闭环和效率更高。GPT类型有:检测GPT侧重增量检出,运营GPT侧重告警自动化研判。
因此,XDR+GPT的交付,需要接入效果好的日志组件,需要与防火墙等组件联动实现自动阻断攻击者,这就需要交付工程师帮助客户选择效果好的日志组件和联动组件,并完成对接。
建议使用Chrome浏览器访问!
