“在近一個月的測試期間,深信服XDR平臺共產生1615875443個安全日志,聚合而成278802個安全告警,最終生成94個安全事件,告警削減效率提升2965倍。每位安全運營人員每天僅能處理500條告警,以往10+人花費10+天都處理不完,現在1人1天即可高質量研判完所有安全事件,安全告警結合威脅定性,可以將非病毒和掃描類的研判完畢。”
當安全工程師充滿底氣地匯報出這組數據,事實證明,“深信服XDR平臺切切實實為用戶帶來安全效果”,不是一句“空談”。
不僅如此,對比相同一臺態勢感知在同一天的告警數量,深信服XDR的告警削減比例接近10倍。
點擊查看每條告警,都由大量日志聚合而成
就在一個月前,該用戶還深陷苦惱中:
安全設備都買了,但沒感受到效果
以往的態勢感知與防火墻建設碎片化,設備分開運營,病毒、木馬、挖礦告警太多,且大都是業務誤報觸發的告警,難以快速發現定向攻擊。
告警研判分析難度大,效率低下
現網有各類廠商的不同安全設備,各個產品的告警非常分散,單獨處理對應告警分析難度高且工作量過大,導致安全響應效率低下。
深信服XDR平臺上線后,通過網端一手遙測數據聚合分析能力,大幅削減來源于EDR和態勢感知(含第三方軟件)的海量告警,并能完整還原出攻擊故事線,精準狙擊攻擊者的入口點及影響面。
安全效果直觀可視,用戶都忍不住好奇:到底是怎么做到的?
首先了解下,深信服XDR所定義的安全事件:
收集多源遙測數據,編織以往零散割裂的信息,形成用戶需要優先關注、能體現攻擊全貌的安全事件。
能夠深度理解安全日志的內容,在更細粒度層面做智能化處理。
從遙測數據、安全日志、安全告警,到深信服XDR所定義的安全事件,這背后依賴海量數據的高性能流式分析架構結合列式存儲,也是XDR與以往SIEM類產品的關鍵差異。
從架構來看,一個或多個安全日志可能會經過聚合、去重、消減、過濾、融合等處理機制,實現告警降噪的效果。
接下來,我們詳細講講,深信服XDR如何實現極致降噪?
三重降噪方式,效果直觀可視
降噪的本質就是壓縮有效信息,并基于更多有效的數據,提供豐富的上下文舉證。
XDR極致降噪的方式,包括網絡側降噪、終端側降噪和網端關聯降噪。
1.網絡側降噪
多對一降噪:當黑客采用多個源IP,暴破同一個資產,無論持續了多長時間、成功與否,深信服XDR只需要給用戶呈現一條事件或告警,在首次生成告警后,在該告警詳情里持續更新。
一對多降噪:當內網某一個資產淪陷后,黑客會橫向掃描多個內網資產,無論掃描多少資產、利用多少掃描方式,深信服XDR通過時間線關聯,僅生成一條橫向掃描的安全事件。
一對一降噪:黑客持續攻擊一個資產,過程中可能利用了多種類似攻擊手法,比如利用同一個漏洞,執行了多個不同的惡意命令,深信服XDR可以根據命中的安全日志,持續聚合成一條告警。
跨階段關聯降噪:將早期dnslog、WebShell上傳+通信、內網橫向等攻擊,跨階段關聯在一起,深信服XDR以自動化方式,聚合成一個完整的安全事件。
2. 終端側降噪
傳統病毒查殺降噪:針對傳統病毒類告警,可以提取出病毒路徑、病毒名稱、病毒hash等關鍵因子,按hash唯一和類別唯一兩種模式,深信服XDR將同一病毒產生的告警聚合到一個安全事件中。
高級威脅降噪:針對例如無文件攻擊的高級威脅,深信服XDR按時間順序記錄用戶環境中發生的一切行為,將所有遙測數據串成一個圖。基于溯源圖通過時間、資產、網絡、情報等多因子進行關聯,選取與威脅相關的實體和關系作為點和邊,形成一張小型威脅圖,最終形成可視化的攻擊故事鏈。
傳統病毒查殺+高級威脅降噪:如果黑客進行一系列高級威脅攻擊行為后,仍然落盤了一個可疑文件,被EDR殺毒檢出,深信服XDR會將殺毒告警在進程鏈進行匹配,意味著傳統病毒查殺和高級威脅降噪合二為一。
3. 網端關聯降噪
根據網端發生“相同事情”的關聯性,網端關聯分為強關聯、邏輯關聯和弱關聯,關聯強度越強,泛化能力就越弱。
深信服XDR網端關聯引擎,可以自動高效地串聯起多維度安全信息,不僅提高對未知威脅、隱蔽攻擊的檢出率,還通過充分的溯源舉證,大幅提高安全事件的準確度,幫助安全團隊能做判斷,敢做判斷,高效處置。
值得強調的是,這一切都是自動化完成的。
第三方數據收集,平臺開放亦可生長
需要圈重點的是,降噪能力在不同廠商設備間相通,深信服XDR平臺能夠收集來自多家第三方廠商的數據源。
深信服XDR將語義識別引擎和多級關聯分析引擎創新結合,實現自動化的理解遙測數據和檢測日志,“左手翻譯、右手聚合”,持續將不同設備對同一次攻擊產生的多條告警合為一條告警,將同一次攻擊在不同階段發起的多次嘗試融為一個事件。
深信服XDR平臺通過內置告警降噪、智能對抗、威脅定性等能力屬性,結合安全GPT等AI技術持續賦能,提升威脅對抗的效果和效率,構建安全運營的全新范式,實現「秒級閉環,百倍提效,千萬級降本」的效率和能力躍升,助力每一位用戶「安全領先一步」。
