歡迎光臨東莞市小幫金服信息科技有限公司官方網站(zhàn)!
熱門關(guān)鍵詞: 視(shì)頻監控系統 門禁一(yī)卡通系統 MES 弱電工程
日期:2023-12-01 閱讀數:178
“現(xiàn)網簡單堆砌各類的流量監測和終端檢測設備,多方設備單打獨鬥,以往基于SIEM、SOC等技術手段和方案,并投入大量人(rén)力與成本,依然存在高價值告警難以精準定位、響應處置效率低(dī)下(xià)等問題……”
這(zhè)是用戶在實戰攻防演練前,常常表達的擔憂。
如(rú)何将傳統設備單打獨鬥的模式,轉變成真正有效的多方設備協同作(zuò)戰的模式?深信服XDR的多源數據融合分(fēn)析能(néng)力,精準定位高價值事(shì)件,提升研判效率,給用戶交上(shàng)了(le)一(yī)份簡單有效的答(dá)卷。
8月(yuè)(yuè)9日
XDR平台成功将1起掃描攻擊定性為(wèi)失敗,其中,兩家第三方廠商(shāng)分(fēn)别定性攻擊為(wèi)嘗試和失敗,XDR通過多源數據關(guān)聯分(fēn)析取得最優檢測結果。
8月(yuè)(yuè)14日
XDR平台通過聚合分(fēn)析SIP和兩家第三方廠商(shāng)流量檢測設備的告警,發現(xiàn)1起Webshell上(shàng)傳成功攻擊事(shì)件,并完整還原故事(shì)線,及時(shí)采取響應措施遏制攻擊。
8月(yuè)(yuè)19日
XDR平台融合兩家第三方廠商(shāng)流量檢測設備的多條重複告警,針對攻擊者同一(yī)次掃描攻擊行為(wèi),精準生(shēng)成出1條掃描器(qì)攻擊告警。
在今年的實戰攻防演練期間(jiān),某國家單位依托深信服XDR作(zuò)為(wèi)總值守平台,通過多源數據融合分(fēn)析,發現(xiàn)5起高價值事(shì)件,研判效率提升65%。
首先,我們要理(lǐ)解,什(shén)麽是Open XDR?
基于以AI為(wèi)内核的「開放(fàng)平台+領先組件+雲端服務(wù)」理(lǐ)念,深信服提出了(le)「Open XDR」的概念:一(yī)種基于XDR平台的開放(fàng)融合解決方案,用于滿足三方安全設備數據接入的通用能(néng)力。
對于已經建設安全運營中心的用戶來(lái)說(shuō),基于Open XDR能(néng)力,深信服XDR平台也(yě)可以成為(wèi)其聚焦威脅運營、提升檢測效果的子(zǐ)平台。
在數據采集層面,XDR可與第三方設備數據和自有設備數據進行融合分(fēn)析。
将碎片化(huà)的安全設備日志進行有效融合分(fēn)析,需要經過數據治理(lǐ)與關(guān)聯分(fēn)析兩道關(guān)鍵步驟。
然而,因技術手段有限,多源數據治理(lǐ),存在數據質量差、建設周期長、建設成本高等業界難題,深信服XDR又是如(rú)何力排萬難的呢(ne)?
多源數據治理(lǐ)創新(xīn)技術大起底——XStream
深信服XDR創新(xīn)采用XStream技術,通過整合多種AI技術,實現(xiàn)三方設備自動化(huà)接入,大幅提升多源數據接入的效率,包含自動接入引擎、威脅類型自動理(lǐ)解引擎、智能(néng)校(xiào)驗引擎。
1.AI自動接入解析
根據接入的第三方數據動态生(shēng)成對應的自動解析規則,分(fēn)為(wèi)采集過濾、識别匹配、規則生(shēng)成等主要流程,接入設備可快(kuài)速學習适配、快(kuài)速驗證接入效果。
2.深度理(lǐ)解威脅類型
在實時(shí)解析的過程中,将未見過的三方日志規則類型發送到 AI模型做此類規則的深度理(lǐ)解,将規則對應的威脅類型寫入緩存中,當遇上(shàng)同類規則時(shí),即可準确理(lǐ)解其對應的威脅類型,由此提升告警研判效率,快(kuài)速挖掘高價值告警。
3.智能(néng)校(xiào)驗載荷
對安全日志進行payload二次檢測,輸出二次檢測後的安全日志,可增強對原始三方日志的檢測能(néng)力,糾正威脅等級。
多源數據關(guān)聯分(fēn)析關(guān)鍵技術——網端關(guān)聯
依托XStream技術完成多源數據治理(lǐ)後,數據将流轉到二級告警聚合引擎,結合關(guān)鍵的網端關(guān)聯能(néng)力,XDR平台由此生(shēng)成精準的攻擊結果。
1.強關(guān)聯
當網端兩側檢測到了(le)同一(yī)個(gè)命令執行、可疑文件行為(wèi)或網絡請求,可以通過命令、文件、攻擊類型因子(zǐ)進行準确匹配。
2.邏輯關(guān)聯
當攻擊階段存在攻防場(chǎng)景相關(guān)性,通過網絡側攻擊階段的關(guān)聯,可以判斷終端側的可疑命令執行。
3.弱關(guān)聯
通過推測還原事(shì)件輪廓,跨階段關(guān)聯不同設備的告警,可以一(yī)定程度上(shàng)解決斷鏈難題。
多源數據效果可視(shì)化(huà)展現(xiàn)——數據質量分(fēn)級
需要強調的是,多源數據融合分(fēn)析的核心在于數據質量。
在高質量的數據的基礎之上(shàng),結合XStream、網端關(guān)聯分(fēn)析能(néng)力,深信服XDR才能(néng)保障威脅檢測分(fēn)析的效果與效率。
因此,深信服XDR将數據質量分(fēn)為(wèi)三個(gè)層級,實現(xiàn)三方組件采集數據能(néng)力和質量的可視(shì)化(huà),幫助用戶衡量價值和效果。
針對不同第三方設備的數據,深信服XDR可展現(xiàn)不同安全效果所需的關(guān)鍵字段,以便衡量各類三方數據的質量。
總之,基于以AI為(wèi)内核的「開放(fàng)平台+領先組件+雲端服務(wù)」,深信服XDR平台通過自有和第三方的流量采集與端點采集組件,将多源數據聚合分(fēn)析,準确生(shēng)成安全事(shì)件并自動回溯完整攻擊鏈,結合安全GPT等AI技術賦能(néng),實現(xiàn)「秒(miǎo)級閉環,百倍提效,千萬級降本」的效率和能(néng)力躍升,構建安全運營的全新(xīn)範式,助力每一(yī)位用戶「安全領先一(yī)步」。
上(shàng)一(yī)篇:當桌面雲可以支撐超10萬點規模部署,意味着什(shén)麽?
下(xià)一(yī)篇:XDR代表廠商(shāng)!這(zhè)一(yī)年,我們為(wèi)您做了(le)這(zhè)些(xiē)努力