“现网简单堆砌各类的流量监测和终端检测设备,多方设备单打独斗,以往基于SIEM、SOC等技术手段和方案,并投入大量人力与成本,依然存在高价值告警难以精准定位、响应处置效率低下等问题……”
这是用户在实战攻防演练前,常常表达的担忧。
如何将传统设备单打独斗的模式,转变成真正有效的多方设备协同作战的模式?深信服XDR的多源数据融合分析能力,精准定位高价值事件,提升研判效率,给用户交上了一份简单有效的答卷。
8月9日
XDR平台成功将1起扫描攻击定性为失败,其中,两家第三方厂商分别定性攻击为尝试和失败,XDR通过多源数据关联分析取得最优检测结果。
8月14日
XDR平台通过聚合分析SIP和两家第三方厂商流量检测设备的告警,发现1起Webshell上传成功攻击事件,并完整还原故事线,及时采取响应措施遏制攻击。
8月19日
XDR平台融合两家第三方厂商流量检测设备的多条重复告警,针对攻击者同一次扫描攻击行为,精准生成出1条扫描器攻击告警。
在今年的实战攻防演练期间,某国家单位依托深信服XDR作为总值守平台,通过多源数据融合分析,发现5起高价值事件,研判效率提升65%。
该用户直言:“深信服XDR的效果,颠覆我对安全运营产品的认知。”(点击跳转:2023实战攻防演练,见证深信服XDR高光时刻!)
△点击查看视频:看得见的XDR技术:如何实现多源数据融合分析?
首先,我们要理解,什么是Open XDR?
基于以AI为内核的「开放平台+领先组件+云端服务」理念,深信服提出了「Open XDR」的概念:一种基于XDR平台的开放融合解决方案,用于满足三方安全设备数据接入的通用能力。
对于已经建设安全运营中心的用户来说,基于Open XDR能力,深信服XDR平台也可以成为其聚焦威胁运营、提升检测效果的子平台。
在数据采集层面,XDR可与第三方设备数据和自有设备数据进行融合分析。
将碎片化的安全设备日志进行有效融合分析,需要经过数据治理与关联分析两道关键步骤。
然而,因技术手段有限,多源数据治理,存在数据质量差、建设周期长、建设成本高等业界难题,深信服XDR又是如何力排万难的呢?
多源数据治理创新技术大起底——XStream
深信服XDR创新采用XStream技术,通过整合多种AI技术,实现三方设备自动化接入,大幅提升多源数据接入的效率,包含自动接入引擎、威胁类型自动理解引擎、智能校验引擎。
1.AI自动接入解析
根据接入的第三方数据动态生成对应的自动解析规则,分为原日志采集过滤、格式模式识别、字段识别匹配、解析规则生成四个主要流程,接入设备可快速学习适配、快速验证接入效果。
2.深度理解威胁类型
在实时解析的过程中,将未见过的三方日志规则类型发送到BERT AI模型做此类规则的深度理解,将规则对应的威胁类型写入缓存中,当遇上同类规则时,即可准确理解其对应的威胁类型,由此提升告警研判效率,快速挖掘高价值告警。
3.智能校验载荷
对安全日志进行payload二次检测,输出二次检测后的安全日志,可增强对原始三方日志的检测能力,纠正威胁等级。
多源数据关联分析关键技术——网端关联
依托XStream技术完成多源数据治理后,数据将流转到二级告警聚合引擎,结合关键的网端关联能力,XDR平台由此生成精准的攻击结果。
1.强关联
当网端两侧检测到了同一个命令执行、可疑文件行为或网络请求,可以通过命令、文件、攻击类型因子进行准确匹配。
2.逻辑关联
当攻击阶段存在攻防场景相关性,通过网络侧攻击阶段的关联,可以判断终端侧的可疑命令执行。
3.弱关联
通过推测还原事件轮廓,跨阶段关联不同设备的告警,可以一定程度上解决断链难题。
多源数据效果可视化展现——数据质量分级
需要强调的是,多源数据融合分析的核心在于数据质量。
在高质量的数据的基础之上,结合XStream、网端关联分析能力,深信服XDR才能保障威胁检测分析的效果与效率。
因此,深信服XDR将数据质量分为三个层级,实现三方组件采集数据能力和质量的可视化,帮助用户衡量价值和效果。
针对不同第三方设备的数据,深信服XDR可展现不同安全效果所需的关键字段,以便衡量各类三方数据的质量。
总之,基于以AI为内核的「开放平台+领先组件+云端服务」,深信服XDR平台通过自有和第三方的流量采集与端点采集组件,将多源数据聚合分析,准确生成安全事件并自动回溯完整攻击链,结合安全GPT等AI技术赋能,实现「秒级闭环,百倍提效,千万级降本」的效率和能力跃升,构建安全运营的全新范式,助力每一位用户「安全领先一步」。