攻防百宝箱提供深信服XDR全局威胁狩猎,方便您进行快速调查溯源。通过对威胁情报以及威胁实体的检索,自动进行统计分析,相比使用专家模式进行威胁狩猎再进一步降低威胁狩猎门槛,提高安全运营工作效率。
在深信服XDR任意页面点击左下角全局调查按钮,进入全局调查页面,根据IP地址、域名、MD5结合时间段一键进行威胁狩猎并且进行信息统计。
全局调查内容包括检测情况统计、组织活跃度、影响资产以及关系溯源图四大方面进行内网影响分析。
场景一:A客户收到监管单位通报,内网有主机访问v.beahh.com这个挖矿域名,需要排查哪些主机访问了挖矿域名并且进行整改。
点击深信服XDR左下角全局调查按钮,选择全局调查域名,输入被通报的挖矿域名v.beahh.com,回车进行搜索。
根据全局调查结果展示内网首次出现事件为2023-02-16,涉及服务11台,产生了23个安全事件,关联到121个安全告警,根据威胁情报得知该域名为lemonduck挖矿相关域名。
其中需要注意的是根据全局调查对象的不同,右上角显示的按钮标签不同,其中对应关系为下表所示
| 全局调查对象 | 右上角按钮类型 |
| IP地址 | 资产管理 |
| 域名 | 威胁情报 |
| MD5 | 威胁情报 |
点击右上角查看威胁情报,跳转深信服威胁情报中心查看该域名详细威胁情报
介绍:APT 事件响应及自动化溯源分析平台离线版客户端,支持自动化采集各类常规系统项、BYOVD 痕迹、Rootkit 痕迹、APT 组织攻击痕迹的取证,帮助安全分析师,提高 APT 攻击事件调查及溯源取证分析效率。并绑定XDR的百宝箱授权,无授权/授权过期时工具不可用。
建议使用Chrome浏览器访问!