深信服XDR實戰出招丨告別海量告警，一眼看清故事線，如何做到？

在回答這個問題之前，先透過兩張圖對比一下。

　　可以看到，深信服XDR直接將1個月內高達8183條單點告警資訊，轉化為使用者一眼就能看到完整故事鏈的177個安全事件，平均每個工作日8個安全事件。使用者不需要再花費大量時間精力，從海量告警中分析出安全事件。

　　在這177個事件中，以該科技公司感染CoinMiner挖礦病毒事件為例。

　　從8183條告警中精準還原1個挖礦事件故事線

　　深信服XDR用了哪些招式？

　　該使用者原有部署了安全感知管理平臺SIP，8月上線深信服XDR作為增值模組賦能SIP。

　 　招式1：自9月1日開始，深信服XDR持續檢測到該使用者內網多個“Redis資料庫攻擊成功”事件，被控主機對其他Redis伺服器進行掃描，並橫向擴散。

　 　招式2：深信服XDR 透過IOA行為檢測引擎，主動監控所有外來者進入終端後的行為，並透過SIP與EDR網端聯合溯源取證，精準檢測出惡意挖礦軟體的威脅實體，透過視覺化故事線，節省大部分人工研判、手動關聯的時間成本。

　　招式3：基於XDR威脅實體分析帶來的能力，使用者僅需在頁面上聯動EDR即可完成病毒根除，無須擔心無法查殺/查殺不徹底等問題。如果使用者不想手動操作，MDR服務依託XDR的檢測效果，快速對受影響的資產溯源分析、查殺挖礦程式、清除惡意程式等，完成響應閉環。

　　使用者不再需要花成倍時間檢視告警，也無須擔心發現事件後無法有效根除，安全體驗和效果瞬間提升。

　　揭秘：XDR賦能SIP，

　　安全體驗和效果提升不止“億”點點

　　此次受挖礦病毒攻擊的使用者屬於科技型企業，由於擁有多個自主創新核心技術，使用者高度重視實戰化的安全防護，之前已經部署安全感知管理平臺SIP。

　　然而，隨著外部攻擊技戰 術日益升級，只依賴流量側（N）的檢測效果存在侷限性，只能看到攻擊者的攻擊路徑或痕跡，無法透過主機側（E）看清攻擊者在終端上的最終惡意行為，因此存在誤報漏報，安全效果仍有進一步提升空間。

　　同時，一個完整的事件閉環分為緩解、遏制、根除、加固等幾個階段，這高度依賴人員的能力和經驗，對精力和專業度都是巨大的挑戰。

　　如何增強安全效果？如何簡化安全運營？

　　透過XDR賦能SIP升級為下一代態勢感知，

　　一切迎刃而解。

　　除了接收SIP上報資料外，深信服XDR補充接收終端安全管理系統EDR上報的遙測資料和終端安全日誌，網端兩側關聯分析形成安全事件，並結合雲端專家服務提供威脅分析研判及狩獵能力，進一步提升事件研判精準度。

　　擔心查殺不徹底？

　　XDR賦能SIP，增強檢測能力

　　網端檢測能力聚合、網端告警相互印證，增強對攻擊成功的發現和定效能力；對於反覆出現或難以處置的安全事件，網端定位問題根因，還原攻擊畫像和攻擊入口，提升溯源取證能力。

　　擔心誤報漏報？

　　XDR賦能SIP，提升告警精準性

　　平臺對各類安全日誌關聯分析，將告警聚合成安全事件，有效削減告警近90%，降低誤報漏報，並針對已失陷主機和安全事件，實現“一站式”聯動處置。

　　擔心閉環工作量大？

　　XDR賦能SIP，結合MDR服務7*24H持續響應

　　深信服XDR對接託管檢測與響應服務MDR，實現雲地協同7*24小時持續監測，平均5分鐘響應、2小時閉環、6小時歸檔。一旦發現安全事件，深信服MDR從監測、判斷、調查到處置，形成實時閉環，減輕使用者閉環工作量，實現真正省心省力。

　　在保護原有安全投資的前提下，

　　基於XDR賦能，SIP升級為下一代態勢感知，

　　深信服希望以高效、高價效比的方式，

　　助力使用者實戰攻防領先一步。

　　一張圖片，簡單總結這次挖礦病毒攻擊事件

　　↓

　　深信服可擴充套件檢測響應平臺XDR

　　1個平臺XDR：透過網端一手資料採集，結合網端聚合分析引擎，實現攻擊鏈深度溯源，檢測能力更全面，事件響應更精準。

　 　N個元件：協同下一代防火牆、SOAR、EDR等產品，讓安全運營化繁為簡。

　 　專屬服務：結合託管檢測與響應服務MDR，原廠專家雲地協同，7*24小時持續響應，釋放運營精力。