欢迎光临广东齐思达信息科(kē)技有(yǒu)限公司官方网站!

齐思达信息科(kē)技

广东齐思达信息科(kē)技有(yǒu)限公司成為(wèi)值得您信赖的贴心系统集成商(shāng)

全國(guó)服務(wù)热線(xiàn):

0757-23819339

新(xīn)闻动态

了解最新(xīn)公司动态及行业资讯

首页>新(xīn)闻动态>行业资讯

返回列表

热门关键词: 信息安全    云计算    弱電(diàn)工程    机房建设    IT基础架构   

让用(yòng)户直言“颠覆认知”的XDR多(duō)源数据融合分(fēn)析能(néng)力

日期:2023-12-01    阅读数:381

图片

“现网简单堆砌各类的流量监测和终端检测设备,多(duō)方设备单打独斗,以往基于SIEM、SOC等技术手段和方案,并投入大量人力与成本,依然存在高价值告警难以精准定位、响应处置效率低下等问题……”


这是用(yòng)户在实战攻防演练前,常常表达的担忧。


如何将传统设备单打独斗的模式,转变成真正有(yǒu)效的多(duō)方设备协同作战的模式?深信服XDR的多(duō)源数据融合分(fēn)析能(néng)力,精准定位高价值事件,提升研判效率,给用(yòng)户交上了一份简单有(yǒu)效的答(dá)卷。


8月9日

XDR平台成功将1起扫描攻击定性為(wèi)失败,其中,两家第三方厂商(shāng)分(fēn)别定性攻击為(wèi)尝试和失败,XDR通过多(duō)源数据关联分(fēn)析取得最优检测结果。

8月14日

XDR平台通过聚合分(fēn)析SIP和两家第三方厂商(shāng)流量检测设备的告警,发现1起Webshell上传成功攻击事件,并完整还原故事線(xiàn),及时采取响应措施遏制攻击。

8月19日

XDR平台融合两家第三方厂商(shāng)流量检测设备的多(duō)条重复告警,针对攻击者同一次扫描攻击行為(wèi),精准生成出1条扫描器攻击告警。

在今年的实战攻防演练期间,某國(guó)家单位依托深信服XDR作為(wèi)总值守平台,通过多(duō)源数据融合分(fēn)析,发现5起高价值事件,研判效率提升65%


首先,我们要理(lǐ)解,什么是Open XDR?

基于以AI為(wèi)内核的「开放平台+领先组件+云端服務(wù)」理(lǐ)念,深信服提出了「Open XDR」的概念:一种基于XDR平台的开放融合解决方案,用(yòng)于满足三方安全设备数据接入的通用(yòng)能(néng)力。


对于已经建设安全运营中心的用(yòng)户来说,基于Open XDR能(néng)力,深信服XDR平台也可(kě)以成為(wèi)其聚焦威胁运营、提升检测效果的子平台。

图片

在数据采集层面,XDR可(kě)与第三方设备数据和自有(yǒu)设备数据进行融合分(fēn)析。


将碎片化的安全设备日志(zhì)进行有(yǒu)效融合分(fēn)析,需要经过数据治理(lǐ)关联分(fēn)析两道关键步骤。


然而,因技术手段有(yǒu)限,多(duō)源数据治理(lǐ),存在数据质量差、建设周期長(cháng)、建设成本高等业界难题,深信服XDR又(yòu)是如何力排万难的呢(ne)?

多(duō)源数据治理(lǐ)创新(xīn)技术大起底——XStream

深信服XDR创新(xīn)采用(yòng)XStream技术,通过整合多(duō)种AI技术,实现三方设备自动化接入,大幅提升多(duō)源数据接入的效率,包含自动接入引擎、威胁类型自动理(lǐ)解引擎、智能(néng)校验引擎

图片


1.AI自动接入解析

根据接入的第三方数据动态生成对应的自动解析规则,分(fēn)為(wèi)采集过滤、识别匹配、规则生成等主要流程,接入设备可(kě)快速學(xué)习适配、快速验证接入效果。

2.深度理(lǐ)解威胁类型

在实时解析的过程中,将未见过的三方日志(zhì)规则类型发送到 AI模型做此类规则的深度理(lǐ)解,将规则对应的威胁类型写入缓存中,当遇上同类规则时,即可(kě)准确理(lǐ)解其对应的威胁类型,由此提升告警研判效率,快速挖掘高价值告警。

3.智能(néng)校验载荷

对安全日志(zhì)进行payload二次检测,输出二次检测后的安全日志(zhì),可(kě)增强对原始三方日志(zhì)的检测能(néng)力,纠正威胁等级。

多(duō)源数据关联分(fēn)析关键技术——网端关联

依托XStream技术完成多(duō)源数据治理(lǐ)后,数据将流转到二级告警聚合引擎,结合关键的网端关联能(néng)力,XDR平台由此生成精准的攻击结果。

1.强关联

当网端两侧检测到了同一个命令执行、可(kě)疑文(wén)件行為(wèi)或网络请求,可(kě)以通过命令、文(wén)件、攻击类型因子进行准确匹配。

2.逻辑关联

当攻击阶段存在攻防场景相关性,通过网络侧攻击阶段的关联,可(kě)以判断终端侧的可(kě)疑命令执行。

3.弱关联

通过推测还原事件轮廓,跨阶段关联不同设备的告警,可(kě)以一定程度上解决断链难题。

图片


多(duō)源数据效果可(kě)视化展现——数据质量分(fēn)级

需要强调的是,多(duō)源数据融合分(fēn)析的核心在于数据质量。


在高质量的数据的基础之上,结合XStream、网端关联分(fēn)析能(néng)力,深信服XDR才能(néng)保障威胁检测分(fēn)析的效果与效率。


因此,深信服XDR将数据质量分(fēn)為(wèi)三个层级,实现三方组件采集数据能(néng)力和质量的可(kě)视化,帮助用(yòng)户衡量价值和效果。

图片

针对不同第三方设备的数据,深信服XDR可(kě)展现不同安全效果所需的关键字段,以便衡量各类三方数据的质量。

图片


总之,基于以AI為(wèi)内核的「开放平台+领先组件+云端服務(wù)」,深信服XDR平台通过自有(yǒu)和第三方的流量采集与端点采集组件,将多(duō)源数据聚合分(fēn)析,准确生成安全事件并自动回溯完整攻击链,结合安全GPT等AI技术赋能(néng),实现「秒(miǎo)级闭环,百倍提效,千万级降本」的效率和能(néng)力跃升,构建安全运营的全新(xīn)范式,助力每一位用(yòng)户「安全领先一步」。



分(fēn)享到: