首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台产品安全中心订单验收材料下载

可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
2.0.20
可扩展的检测与响应平台XDR(分布式) 文档 版本动态 版本更新记录
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","版本更新记录")}}

版本更新记录

更新时间:2024-01-17

分布式XDR V2.0.20版本价值说明

  1. 安全GPT辅助运营

    • 辅助驾驶功能提供了友好的人机交互界面与自然语言交流能力,提升用户体验,降低对运营人员的专业要求,将日常安全运营所花费的时间减少95%。

  2. 安全GPT智能值守

    • 用户可以通过智能值守开关开启智能值守,消除繁琐、紧迫的运营工作,自动化、7*24小时的自动化专业安全效果保障,提升组织安全能力。

  3. 安全GPT检测功能特性
    • GPT检测能力:深信服安全GPT专注于检测与研判两个安全子场景。使用蒸馏的手段,不仅实现了模型的轻量化,任务的专一化,还能有效保留安全大模型对于HTTP协议,代码语义,资产信息的理解能力。目前已覆盖SQL注入,命令执行,Java代码注入,Java反序列化,PHP反序列化,目录遍历等多种Web攻击场景。并且,与传统引擎不同,深信服安全GPT不需区分Web底层语言,避免了人工设计特征的局限性,不需为每一种攻击设计专有模型,真正实现了使用一个模型,实现通用web攻击检测的目的。
    • GPT研判分析能力:深信服安全GPT通过构建专有领域字表等方式,根据数据包中关键字段与上下文信息,使用专业术语,进行数据包的解读与针对性研判。
  4. 模型升级功能特性
    • 可以通过导入模型升级包,对GPT大模型进行升级。

分布式XDR V2.0.19版本价值说明

  1. 安全GPT能力
    • 新增安全GPT授权,用户可以通过授权管理导入安全GPT功能授权
    • 新增安全GPT自然语言对话功能,用户可以通过安全GPT进行资产统计、趋势分析、漏洞查询、安全百科查询、告警事件筛选等功能
    • 新增安全GPT解读功能,用户可以通过安全GPT对事件、告警、恶意文件、情报等信息进行解读,并对当前的安全状况进行总结
    • 安全事件、安全告警页面新增安全GPT研判功能,用户可以通过该按钮直接询问安全GPT

  2. 多分支场景能力

    • 新增多分支模式,用户可以通过资产组配置不同的分支信息

    • 优化账号权限,用户可以通过账号权限对不同的账号设置不同的分支权限信息

    • 优化安全事件、安全告警等页面,用户可以通过切换不同分支查看当前分支的安全信息

    • 优化资产管理、脆弱性管理等页面,用户可以通过切换不同分支查看当前分支的暴露面信息

  3. 安全运营能力

    • 新增安全运营报告,用户可以通过手动或者自动导出自己一段时间内安全运营报告

    • 新增多种默认工单模板,用户可以通过新的默认工单完成日常安全运营的闭环

    • 新增SOAR对接自定义工单功能,用户可以通过SOAR剧本发起自定义工单

  4. 设备接入

    •  新增一键联云功能,产品可以通过云端联动码一键接入云端,获取安全托管服务和云端增强检测能力。  
    • 新增深信服自有产品一键接入功能,深信服部分自有产品可以通过联动码一键接入XDR  
    • 新增深信服自有产品健康状态监控功能,用户可以通过XDR查看深信服自有产品的授权、资源占用等状态
    • 优化现有深信服自有产品接入功能,用户可以通过配置支持NAT场景下的组件接入
  5. 开放性
    • 新增自定义logo和说明,用户可以通过该功能修改产品默认logo和产品介绍信息
    • 新增API对接文档,用户可以在应用商店中现在目前的API对接文档,方便用户进行数据对接
    • 新增Kafka、syslog等方式进行数据外发,用户可以通过上述方式对接XDR引擎的安全事件、安全告警  
    • 新增多种第三方数据对接能力,现在XDR平台可以对多种第三方数据进行增强分析、关联聚合
    • 新增第三方数据接入质量分析,用户可以了解第三方数据的接入日志情况以及XDR的增强分析能力
  6. 检测能力
    • 新增AI自动解析,对新接入设备自动生成解析规则并替换,大幅提升三方接入效率
    • 新增第三方日志深度理解能力,理解其威胁类型,二次检测其攻击载荷,安全效果赋能第三方  
    • 新增安全事件、安全告警数据对账,用户可以通过该功能观察产品数据的时延情况
    • 优化现有安全事件、安全告警检索功能,支持搜索更多关键字段,详情见产品说明书。  
    • 端网关联、多阶段关联精准化检测能力提升 优化现有检测能力,多种热门攻击手法(钓鱼、情报)检测能力大幅提升
    • 优化现有威胁定性能力,事件、告警等攻击手段的定性能力大幅提升
    •  优化现有智能对抗逻辑,减少因智能对抗导致的误封
  7. 攻击面管理能力
    •  新增手动脆弱性上传,用户可以手动上传第三方脆弱性监测报告并通过XDR进行展示 
    • 优化现有资产导入和检索逻辑,支持更多使用场景
    • 新增多种第三方资产数据源,详情见产品说明书
  8. 系统运维
    • 新增系统维护页面,用户可以在该页面查看设备运行状态、日志存储信息,数据备份信息和系统巡检信息
    • 新增系统状态通知页面,用户可以通过配置设备状态阈值触发邮件告警和页面告警通知
    • 新增系统日志-告警日志页面,用户可以查看当前阈值状态下的所有告警通知
    • 新增全局告警通知功能,用户可以通过通知页面了解当前设备是否触发阈值
    • 新增系统运行状态页面,用户可以通过该页面查看CPU、磁盘、内存、IO等资源使用情况。
  9.  系统稳定性
    •  新增数据限流,在产品流量远大于产品规格时会对产品能力进行降级处理,大幅减少因为负载过高导致的系统故障
    • 优化系统时间修改,大幅减少因为系统时间修改导致的系统故障
    • 优化系统升级,大幅减少由于版本升级导致的系统故障
  10. 安全托管服务优化

    • 优化现有安全托管服务对接逻辑,AF、EDR、SIP等产品可以同时对接线上线下双平台

    • 优化现有数据上报能力,新增安全日志上报能力,MSS可以托管安全事件、告警、安全日志等

    • 优化现有数据逻辑,支持多分支模式下托管单分支的场景


分布式XDR V2.0.18版本价值说明 

1、XStream能力提升。       

  • 支持第三方网络设备数据包检测,提升第三方效果覆盖率。 

2、工单模板配置优化 

  • 介绍工单模板配置优化的基本信息,包括定义、价值描述、应用场景、功能描述及原理描述等

3、新增自定义Logo 

  • XDR的产品名称、产品logo、首页背景页、产品描述、产品小logo,支持用户操作。

4、新增系统运维页面 

  • 展示XDR平台各节点的健康状态,资源使用趋势。方便对XDR平台的日常运维和运营。

5、新增 安全GPT 

  • 提供安全GPT能力,自动分析用户安全现状,并生成处置建议。自动化调查、分析、研判,提升安全运营效率。自然语言交互,提高用户体验,降低对运营人员的专业要求。

6、升级流程优化

  • 介绍升级流程 优化需求的基本信息,包括定义、价值描述、应用场景、功能描述及原理描述等。

7、支持上报安全日志到MSS

  • 通过后台配置,支持将分布式XDR从组件采集到的安全日志上报到MSS平台。

8、稳定性提升 

9、XEN 网端关联

  • 事件误关联场景优化,关联场景的事件定性准确性优化



分布式XDR V2.0.15版本价值说明

  1. 数据分权/多分支

    新增检测响应适配数据分权(告警、事件等)
    新增联动响应适配数据分权
    新增资产数据适配数据分权
    新增openapi适配数据分权
    新增soar数据适配数据分权

    新增工单数据适配数据分权
    新增统计数据适配数据分权(总览、大屏、报表)

  1. 交付需求

    优化升级时间,从3小时优化到1小时左右 

3.安全分析

【安全告警】搜索框要支持ip的全文检索

4.时效性
  安全事件&安全告警增加时延统计字段
【时效性】分布式XDR数据湖支持日志对账系统
【时效性】与mss对接日志对账信息
 分布式XDR平台支持排查时效性问题

5.优化
【交互】【资产到人】支持对接天擎接入终端资产和人员信息
【交互】【分布式】【工单融合】未知资产增加“发起工单”按钮,满足资产入库审核运营需求
【工单优化】工单详情字段,超出6个字换行展示,超出12字省略号展示
【工单优化】【前端】富文本,支持截图、复制粘贴图片
【工单优化】工单高级控件(事件、告警、脆弱性)展示增加相关简要属性

6.其他
  规则库升级
  SIEM第三方日志自动分类转化框架(第三方规则自动理解引擎)

7.SAAS XDR 530合入功能 

  总览重构改版

  增加导航栏全览功能

  处置响应,新增EDR下发IP+端口的封堵

  优化智能响应为三种模式

 【智能对抗】增加端侧IP封堵能力

  新增自定义告警生成事件

   支持根据资产组的IP属性进行筛选

  资产组的新增或编辑中支持选择更多的IP属性

  增加入库和退库自动规则,优化资产生命周期管理

  体验优化: 

    •  资产管理支持批量编辑信息;
    •  资产组变更更易用;
    •  资产管理中资产台账、未知资产、历史资产都支持表格直接编辑
    •  处置状态和终端接入状态的视觉样式更换
    •  支持查看数据源具体设备名称
    •  脆弱性风险视角导出的弱密码没有账号密码信息
    •  弱密码补充展示相关举证信息

8.SAAS XDR 430合入功能

  全局悬浮球增加帮助文档入口

  支持SaaS XDR授权转换

  隐藏智能运营平台锁住页面,并提供资产总览介绍

  资产总览补齐web相关统计数据&增加跳转

  资产责任人新增“备注”字段

  资产管理支持导出组件上报的责任人信息

  资产导出增加数据源信息

  资产管理-资产详情 数据源要展示人工导入的资产

  新增自定义威胁情报入口并新增威胁定性标签体验优化 

   体验优化

    •     资产&脆弱性筛选框优化;
    •  扫描结果为0值时进行展示优化;
    •  资产管理页面资产组支持拖动修改列宽;
    •  优化资产生命周期管理;
    •  组件接入状态和异常提示文案优化;

分布式XDR V2.0.12版本价值说明

1. 自定义工单流程
    新增自定义工单流程,用户可流程化处置安全事件/告警/脆弱性/资产等安全风险
    新增内置5种常见工单流程
    新增自定义用户组,可通过自定义用户组下发工单流程
    新增邮件、短信通知方式,支持通过邮件、短信通知工单流程,提供内置邮件模板和短信模板
2. SOAR
    新增SOAR模块,支持用户通过SOAR进行流程化的安全处置闭环
    新增内置22个开箱即用的内置剧本
    新增多种SOAR节点,支持自定义SOAR流程
    新增支持对接数十种第三方应用
    新增对接自定义工单流程,提供内置邮件通知模板,方便剧本日常运维
3. SIEM
    新增对外提供KAFKA进行第三方数据接入
    新增数据接入和分析扩容
4. 资产管理
    新增对接AC的能力,可以对接账号进行人员定位
    新增对接DNS服务器的能力,优化资产识别能力
    新增对接第三方CMDB能力,可以导入第三方资产进行管理
    新增认证信息同步页面,可以看到所有的AC认证信息
    优化资产列表和资产卡片,可以看到资产的实时认证用户名
5. 第三方开箱即用
    支持天眼、安恒、青藤、联软4款第三方安全效果“开箱即用”
    告警/事件检测和消减能力:除自有组件外,可针对上述第三方进行告警聚合、告警/事件融合(和深信服组件)、第三方告警误报纠正
    新增威胁定性(告警定性、事件定性),在日常运维和实战对抗场景实现快速自动化挖掘高价值事件
    XEN网端关联及溯源能力-1:天眼、安恒、青藤、联软第三方组件可与深信服组件进行网端关联,并且具备一定的故事线还原能力
    XEN网端关联及溯源能力-2:新增单主机多攻击阶段关联能力,大幅增强攻击还原度
6. 大屏
    新增安全能力大屏,可以展示XDR少量精准的能力
7. 系统
    新增自动补丁升级与规则库更新机制,确保系统安全与实时性
    新增系统巡检功能,帮助用户更好的识别问题
    新增对虚拟化环境部署的支持,兼容主流虚拟机平台
    新增用户数据备份和恢复功能
    优化目前导航栏的显示,新增快捷入口、30天待处置事件数字提醒等
    优化平台的安全性,对平台的端口和链接进行收敛
    优化目前的存储结构和中间件,增强系统稳定性
    优化网络配置逻辑,实现对10GbE网络接口卡的兼容与支持