精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    技術(shù)解析丨深信服XDR如何實(shí)現(xiàn)極致告警降噪?

    “在近一個(gè)月的測(cè)試期間,深信服XDR平臺(tái)共產(chǎn)生1615875443個(gè)安全日志,聚合而成278802個(gè)安全告警,最終生成94個(gè)安全事件,告警削減效率提升2965倍。每位安全運(yùn)營(yíng)人員每天僅能處理500條告警,以往10+人花費(fèi)10+天都處理不完,現(xiàn)在1人1天即可高質(zhì)量研判完所有安全事件,安全告警結(jié)合威脅定性,可以將非病毒和掃描類的研判完畢。”

    當(dāng)安全工程師充滿底氣地匯報(bào)出這組數(shù)據(jù),事實(shí)證明,“深信服XDR平臺(tái)切切實(shí)實(shí)為用戶帶來安全效果”,不是一句“空談”。

    不僅如此,對(duì)比相同一臺(tái)態(tài)勢(shì)感知在同一天的告警數(shù)量,深信服XDR的告警削減比例接近10倍。

    點(diǎn)擊查看每條告警,都由大量日志聚合而成

    就在一個(gè)月前,該用戶還深陷苦惱中:

    安全設(shè)備都買了,但沒感受到效果

    以往的態(tài)勢(shì)感知與防火墻建設(shè)碎片化,設(shè)備分開運(yùn)營(yíng),病毒、木馬、挖礦告警太多,且大都是業(yè)務(wù)誤報(bào)觸發(fā)的告警,難以快速發(fā)現(xiàn)定向攻擊。

    告警研判分析難度大,效率低下

    現(xiàn)網(wǎng)有各類廠商的不同安全設(shè)備,各個(gè)產(chǎn)品的告警非常分散,單獨(dú)處理對(duì)應(yīng)告警分析難度高且工作量過大,導(dǎo)致安全響應(yīng)效率低下。

    深信服XDR平臺(tái)上線后,通過網(wǎng)端一手遙測(cè)數(shù)據(jù)聚合分析能力,大幅削減來源于EDR和態(tài)勢(shì)感知(含第三方軟件)的海量告警,并能完整還原出攻擊故事線,精準(zhǔn)狙擊攻擊者的入口點(diǎn)及影響面。

    安全效果直觀可視,用戶都忍不住好奇:到底是怎么做到的?

    首先了解下,深信服XDR所定義的安全事件:

    收集多源遙測(cè)數(shù)據(jù),編織以往零散割裂的信息,形成用戶需要優(yōu)先關(guān)注、能體現(xiàn)攻擊全貌的安全事件。

    能夠深度理解安全日志的內(nèi)容,在更細(xì)粒度層面做智能化處理。

    從遙測(cè)數(shù)據(jù)、安全日志、安全告警,到深信服XDR所定義的安全事件,這背后依賴海量數(shù)據(jù)的高性能流式分析架構(gòu)結(jié)合列式存儲(chǔ),也是XDR與以往SIEM類產(chǎn)品的關(guān)鍵差異。

    從架構(gòu)來看,一個(gè)或多個(gè)安全日志可能會(huì)經(jīng)過聚合、去重、消減、過濾、融合等處理機(jī)制,實(shí)現(xiàn)告警降噪的效果。

    接下來,我們?cè)敿?xì)講講,深信服XDR如何實(shí)現(xiàn)極致降噪?

    三重降噪方式,效果直觀可視

    降噪的本質(zhì)就是壓縮有效信息,并基于更多有效的數(shù)據(jù),提供豐富的上下文舉證。

    XDR極致降噪的方式,包括網(wǎng)絡(luò)側(cè)降噪、終端側(cè)降噪和網(wǎng)端關(guān)聯(lián)降噪。

    1.網(wǎng)絡(luò)側(cè)降噪

    多對(duì)一降噪:當(dāng)黑客采用多個(gè)源IP,暴破同一個(gè)資產(chǎn),無論持續(xù)了多長(zhǎng)時(shí)間、成功與否,深信服XDR只需要給用戶呈現(xiàn)一條事件或告警,在首次生成告警后,在該告警詳情里持續(xù)更新。

    一對(duì)多降噪:當(dāng)內(nèi)網(wǎng)某一個(gè)資產(chǎn)淪陷后,黑客會(huì)橫向掃描多個(gè)內(nèi)網(wǎng)資產(chǎn),無論掃描多少資產(chǎn)、利用多少掃描方式,深信服XDR通過時(shí)間線關(guān)聯(lián),僅生成一條橫向掃描的安全事件。

    一對(duì)一降噪:黑客持續(xù)攻擊一個(gè)資產(chǎn),過程中可能利用了多種類似攻擊手法,比如利用同一個(gè)漏洞,執(zhí)行了多個(gè)不同的惡意命令,深信服XDR可以根據(jù)命中的安全日志,持續(xù)聚合成一條告警。

    跨階段關(guān)聯(lián)降噪:將早期dnslog、WebShell上傳+通信、內(nèi)網(wǎng)橫向等攻擊,跨階段關(guān)聯(lián)在一起,深信服XDR以自動(dòng)化方式,聚合成一個(gè)完整的安全事件。

    2. 終端側(cè)降噪

    傳統(tǒng)病毒查殺降噪:針對(duì)傳統(tǒng)病毒類告警,可以提取出病毒路徑、病毒名稱、病毒hash等關(guān)鍵因子,按hash唯一和類別唯一兩種模式,深信服XDR將同一病毒產(chǎn)生的告警聚合到一個(gè)安全事件中。

    高級(jí)威脅降噪:針對(duì)例如無文件攻擊的高級(jí)威脅,深信服XDR按時(shí)間順序記錄用戶環(huán)境中發(fā)生的一切行為,將所有遙測(cè)數(shù)據(jù)串成一個(gè)圖?;谒菰磮D通過時(shí)間、資產(chǎn)、網(wǎng)絡(luò)、情報(bào)等多因子進(jìn)行關(guān)聯(lián),選取與威脅相關(guān)的實(shí)體和關(guān)系作為點(diǎn)和邊,形成一張小型威脅圖,最終形成可視化的攻擊故事鏈。

    傳統(tǒng)病毒查殺+高級(jí)威脅降噪:如果黑客進(jìn)行一系列高級(jí)威脅攻擊行為后,仍然落盤了一個(gè)可疑文件,被EDR殺毒檢出,深信服XDR會(huì)將殺毒告警在進(jìn)程鏈進(jìn)行匹配,意味著傳統(tǒng)病毒查殺和高級(jí)威脅降噪合二為一。

    3. 網(wǎng)端關(guān)聯(lián)降噪

    根據(jù)網(wǎng)端發(fā)生“相同事情”的關(guān)聯(lián)性,網(wǎng)端關(guān)聯(lián)分為強(qiáng)關(guān)聯(lián)、邏輯關(guān)聯(lián)和弱關(guān)聯(lián),關(guān)聯(lián)強(qiáng)度越強(qiáng),泛化能力就越弱。

    深信服XDR網(wǎng)端關(guān)聯(lián)引擎,可以自動(dòng)高效地串聯(lián)起多維度安全信息,不僅提高對(duì)未知威脅、隱蔽攻擊的檢出率,還通過充分的溯源舉證,大幅提高安全事件的準(zhǔn)確度,幫助安全團(tuán)隊(duì)能做判斷,敢做判斷,高效處置。

    值得強(qiáng)調(diào)的是,這一切都是自動(dòng)化完成的。

    第三方數(shù)據(jù)收集,平臺(tái)開放亦可生長(zhǎng)

    需要圈重點(diǎn)的是,降噪能力在不同廠商設(shè)備間相通,深信服XDR平臺(tái)能夠收集來自多家第三方廠商的數(shù)據(jù)源。

    深信服XDR將語義識(shí)別引擎和多級(jí)關(guān)聯(lián)分析引擎創(chuàng)新結(jié)合,實(shí)現(xiàn)自動(dòng)化的理解遙測(cè)數(shù)據(jù)和檢測(cè)日志,“左手翻譯、右手聚合”,持續(xù)將不同設(shè)備對(duì)同一次攻擊產(chǎn)生的多條告警合為一條告警,將同一次攻擊在不同階段發(fā)起的多次嘗試融為一個(gè)事件。

    深信服XDR平臺(tái)通過內(nèi)置告警降噪、智能對(duì)抗、威脅定性等能力屬性,結(jié)合安全GPT等AI技術(shù)持續(xù)賦能,提升威脅對(duì)抗的效果和效率,構(gòu)建安全運(yùn)營(yíng)的全新范式,實(shí)現(xiàn)「秒級(jí)閉環(huán),百倍提效,千萬級(jí)降本」的效率和能力躍升,助力每一位用戶「安全領(lǐng)先一步」。

    (免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
    任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )