歡迎光臨廣東廣東到啦網信息科技有限公司官方網站(zhàn)!
熱門關(guān)鍵詞: 視頻監控系統 門禁一卡通(tōng)系統 MES 弱電工程
日期:2023-12-01 閱讀數:107
“現網簡單堆砌各類的流量監測和(hé)終端檢測設備,多方設備單打獨鬥,以往基于SIEM、SOC等技術(shù)手段和(hé)方案,并投入大量人力與成本,依然存在高價值告警難以精準定位、響應處置效率低下(xià)等問(wèn)題……”
這是用戶在實戰攻防演練前,常常表達的擔憂。
如(rú)何将傳統設備單打獨鬥的模式,轉變成真正有效的多方設備協同作戰的模式?深信服XDR的多源數據融合分析能力,精準定位高價值事件,提升研判效率,給用戶交上了一份簡單有效的答卷。
8月(yuè)9日
XDR平台成功将1起掃描攻擊定性為失敗,其中(zhōng),兩家第三方廠商(shāng)分别定性攻擊為嘗試和(hé)失敗,XDR通(tōng)過多源數據關(guān)聯分析取得最優檢測結果。
8月(yuè)14日
XDR平台通(tōng)過聚合分析SIP和(hé)兩家第三方廠商(shāng)流量檢測設備的告警,發現1起Webshell上傳成功攻擊事件,并完整還原故事線,及時采取響應措施遏制攻擊。
8月(yuè)19日
XDR平台融合兩家第三方廠商(shāng)流量檢測設備的多條重複告警,針對攻擊者同一次掃描攻擊行為,精準生成出1條掃描器(qì)攻擊告警。
在今年的實戰攻防演練期間,某國家單位依托深信服XDR作為總值守平台,通(tōng)過多源數據融合分析,發現5起高價值事件,研判效率提升65%。
首先,我們要理解,什麼是Open XDR?
基于以AI為内核的「開放平台+領先組件+雲端服務」理念,深信服提出了「Open XDR」的概念:一種基于XDR平台的開放融合解決方案,用于滿足三方安全設備數據接入的通(tōng)用能力。
對于已經建設安全運營中(zhōng)心的用戶來說,基于Open XDR能力,深信服XDR平台也可(kě)以成為其聚焦威脅運營、提升檢測效果的子(zǐ)平台。
在數據采集層面,XDR可(kě)與第三方設備數據和(hé)自有設備數據進行融合分析。
将碎片化的安全設備日志進行有效融合分析,需要經過數據治理與關(guān)聯分析兩道關(guān)鍵步驟。
然而,因技術(shù)手段有限,多源數據治理,存在數據質量差、建設周期長、建設成本高等業(yè)界難題,深信服XDR又是如(rú)何力排萬難的呢(ne)?
多源數據治理創新技術(shù)大起底——XStream
深信服XDR創新采用XStream技術(shù),通(tōng)過整合多種AI技術(shù),實現三方設備自動(dòng)化接入,大幅提升多源數據接入的效率,包含自動(dòng)接入引擎、威脅類型自動(dòng)理解引擎、智能校(xiào)驗引擎。
1.AI自動(dòng)接入解析
根據接入的第三方數據動(dòng)态生成對應的自動(dòng)解析規則,分為采集過濾、識别匹配、規則生成等主要流程,接入設備可(kě)快速學習适配、快速驗證接入效果。
2.深度理解威脅類型
在實時解析的過程中(zhōng),将未見過的三方日志規則類型發送到 AI模型做此類規則的深度理解,将規則對應的威脅類型寫入緩存中(zhōng),當遇上同類規則時,即可(kě)準确理解其對應的威脅類型,由此提升告警研判效率,快速挖掘高價值告警。
3.智能校(xiào)驗載荷
對安全日志進行payload二次檢測,輸出二次檢測後的安全日志,可(kě)增強對原始三方日志的檢測能力,糾正威脅等級。
多源數據關(guān)聯分析關(guān)鍵技術(shù)——網端關(guān)聯
依托XStream技術(shù)完成多源數據治理後,數據将流轉到二級告警聚合引擎,結合關(guān)鍵的網端關(guān)聯能力,XDR平台由此生成精準的攻擊結果。
1.強關(guān)聯
當網端兩側檢測到了同一個(gè)命令執行、可(kě)疑文(wén)件行為或網絡請求,可(kě)以通(tōng)過命令、文(wén)件、攻擊類型因子(zǐ)進行準确匹配。
2.邏輯關(guān)聯
當攻擊階段存在攻防場景相關(guān)性,通(tōng)過網絡側攻擊階段的關(guān)聯,可(kě)以判斷終端側的可(kě)疑命令執行。
3.弱關(guān)聯
通(tōng)過推測還原事件輪廓,跨階段關(guān)聯不同設備的告警,可(kě)以一定程度上解決斷鍊難題。
多源數據效果可(kě)視化展現——數據質量分級
需要強調的是,多源數據融合分析的核心在于數據質量。
在高質量的數據的基礎之上,結合XStream、網端關(guān)聯分析能力,深信服XDR才能保障威脅檢測分析的效果與效率。
因此,深信服XDR将數據質量分為三個(gè)層級,實現三方組件采集數據能力和(hé)質量的可(kě)視化,幫助用戶衡量價值和(hé)效果。
針對不同第三方設備的數據,深信服XDR可(kě)展現不同安全效果所需的關(guān)鍵字段,以便衡量各類三方數據的質量。
總之,基于以AI為内核的「開放平台+領先組件+雲端服務」,深信服XDR平台通(tōng)過自有和(hé)第三方的流量采集與端點采集組件,将多源數據聚合分析,準确生成安全事件并自動(dòng)回溯完整攻擊鍊,結合安全GPT等AI技術(shù)賦能,實現「秒級閉環,百倍提效,千萬級降本」的效率和(hé)能力躍升,構建安全運營的全新範式,助力每一位用戶「安全領先一步」。
上一篇:當桌面雲可(kě)以支撐超10萬點規模部署,意味着什麼?
下(xià)一篇:沒有了!