深信服XDR下一代态势感知系统
首页
外部威胁复杂多样,攻击手段与组织不断升级
单一方向检测有局限,E+N二合一融合检测成为必然只依赖流量侧(N)的检测效果有局限,存在误报漏报,加密流量的内容不可视,纯流量视角来检测,发现不了威胁(漏报),或基于流量行为的检测告警会存在较多的误报。
单一方向检测有局限,E+N二合一融合检测成为必然只依赖流量侧(N)的检测效果有局限,追踪溯源有困难,在ATT&CK攻击检测模型分布上,N侧覆盖了64种,E侧覆盖了428种,流量侧更多是看到攻击过程,只有在主机端侧才能详细看到黑客具体做了什么,在加密流量和NAT转换等场景,缺乏E侧数据输入将无法定位真实失陷主机,更无法定位和还原恶意进程链,追踪溯源变得困难。
XDR基于E+N二合一的新架构,构建威胁检测响应新模式基于原生工具的数据采集立足E+N新架构,实现威胁检测与响应的更简单、更有效、更高性价比。
XDR技术赋能SIP,增强安全效果SIP对接XDR后,可提升检测能力与告警精准性:XDR赋能:XDR补充了E侧遥测数据和行为日志,将E+N关联分析结果同步给SIP,提升检测的全面性和精准性。增强检测能力:E+N检测能力融合,增强对攻击成功的发现和定性能力;对于反复出现或难以处置的安全事件,E+N定位问题根因,还原攻击画像和攻击入口,提升溯源取证能力。提升告警精准性:平台对各类安全日志关联分析,将告警聚合成incidents,有效削减威胁告警,降低漏报与误报,针对已失陷主机和安全事件实现快速的联动处置。
基于XDR赋能下一代态势感知方案
下一代态势感知-检测流程示例
E+N增强检测分析能力通过关键节点E(Endpoint)+N(Network)的数据采集融合和关联分析,实现威胁深度检测,通过深度E+N聚合引擎,完整还原整个攻击威胁的发生过程,易于举证和下一步研判。
E+N提升告警精准性E+N双重举证,XTH人工研判审核,安全事件告警准确率达99.9%
接入配置SIP接入XDR配置界面,同一租户仅支持同步检测能力给一台SIP,配置后,SIP支持单点登录跳转至XDR后台界面。
实现效果XDR告警的安全事件同步给SIP后,SIP进行格式范式化后,并按SIP的规则进行展示和聚合,展示界面包括风险资产视角、风险用户视角、威胁视角-安全事件。 SIP展示的安全事件若来自于XDR,则带上XDR的标识,设备来源显示为深信服XDR。SIP上点击带有XDR标签的某一事件时,链接自动跳转到XDR对应事件的详情页面,可展示进程链级的可视化攻击事故线。
下一代态势感知方案实践故事
XX公司webshell上传检测实践XX公司购买了态势感知,一次安全巡查时,公司发现webshell上传攻击告警,但由于单网络侧的检测无法直接定位到真实的攻击进程,该问题一直无法很好有效地解决,公司对潜伏威胁很是忌惮。引入XDR、EDR能力后,XX公司立马获得了一个解决此安全问题的新思路:当攻击者发起webshell上传攻击,一旦攻击者上传成功则同时会在对应的主机网站目录上生成对应的恶意文件,终端侧可根据对应的生成时间、文件大小、内容等多个维度自动化关联到网络侧的webshell上传攻击,从而证明之前的此攻击的成功,并可从进程链溯源到失陷的主机与对应的危险进程,从而针对性阻断与清除危险。
产品推荐
