在回答这个问题之前,先通过两张图对比一下。
可以看到,深信服XDR直接将1个月内高达8183条单点告警信息,转化为用户一眼就能看到完整故事链的177个安全事件,平均每个工作日8个安全事件。用户不需要再花费大量时间精力,从海量告警中分析出安全事件。
在这177个事件中,以该科技公司感染CoinMiner挖矿病毒事件为例。
从8183条告警中精准还原1个挖矿事件故事线
深信服XDR用了哪些招式?
该用户原有部署了安全感知管理平台SIP,8月上线深信服XDR作为增值模块赋能SIP。
招式1:自9月1日开始,深信服XDR持续检测到该用户内网多个“Redis数据库攻击成功”事件,被控主机对其他Redis服务器进行扫描,并横向扩散。
招式2:深信服XDR 通过IOA行为检测引擎,主动监控所有外来者进入终端后的行为,并通过SIP与EDR网端联合溯源取证,精准检测出恶意挖矿软件的威胁实体,通过可视化故事线,节省大部分人工研判、手动关联的时间成本。
招式3:基于XDR威胁实体分析带来的能力,用户仅需在页面上联动EDR即可完成病毒根除,无须担心无法查杀/查杀不彻底等问题。如果用户不想手动操作,MDR服务依托XDR的检测效果,快速对受影响的资产溯源分析、查杀挖矿进程、清除恶意程序等,完成响应闭环。
用户不再需要花成倍时间查看告警,也无须担心发现事件后无法有效根除,安全体验和效果瞬间提升。
揭秘:XDR赋能SIP,
安全体验和效果提升不止“亿”点点
此次受挖矿病毒攻击的用户属于科技型企业,由于拥有多个自主创新核心技术,用户高度重视实战化的安全防护,之前已经部署安全感知管理平台SIP。
然而,随着外部攻击技战术日益升级,只依赖流量侧(N)的检测效果存在局限性,只能看到攻击者的攻击路径或痕迹,无法通过主机侧(E)看清攻击者在终端上的最终恶意行为,因此存在误报漏报,安全效果仍有进一步提升空间。
同时,一个完整的事件闭环分为缓解、遏制、根除、加固等几个阶段,这高度依赖人员的能力和经验,对精力和专业度都是巨大的挑战。
如何增强安全效果?如何简化安全运营?
通过XDR赋能SIP升级为下一代态势感知,
一切迎刃而解。
除了接收SIP上报数据外,深信服XDR补充接收终端安全管理系统EDR上报的遥测数据和终端安全日志,网端两侧关联分析形成安全事件,并结合云端专家服务提供威胁分析研判及狩猎能力,进一步提升事件研判精准度。
担心查杀不彻底?
XDR赋能SIP,增强检测能力
网端检测能力聚合、网端告警相互印证,增强对攻击成功的发现和定性能力;对于反复出现或难以处置的安全事件,网端定位问题根因,还原攻击画像和攻击入口,提升溯源取证能力。
担心误报漏报?
XDR赋能SIP,提升告警精准性
平台对各类安全日志关联分析,将告警聚合成安全事件,有效削减告警近90%,降低误报漏报,并针对已失陷主机和安全事件,实现“一站式”联动处置。
担心闭环工作量大?
XDR赋能SIP,结合MDR服务7*24H持续响应
深信服XDR对接托管检测与响应服务MDR,实现云地协同7*24小时持续监测,平均5分钟响应、2小时闭环、6小时归档。一旦发现安全事件,深信服MDR从监测、判断、调查到处置,形成实时闭环,减轻用户闭环工作量,实现真正省心省力。
在保护原有安全投资的前提下,
基于XDR赋能,SIP升级为下一代态势感知,
深信服希望以高效、高性价比的方式,
助力用户实战攻防领先一步。
一张图片,简单总结这次挖矿病毒攻击事件
↓
深信服可扩展检测响应平台XDR
1个平台XDR:通过网端一手数据采集,结合网端聚合分析引擎,实现攻击链深度溯源,检测能力更全面,事件响应更精准。
N个组件:协同下一代防火墙、SOAR、EDR等产品,让安全运营化繁为简。
专属服务:结合托管检测与响应服务MDR,原厂专家云地协同,7*24小时持续响应,释放运营精力。 文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com