技術解析丨深信服XDR如何實現(xiàn)極致告警降噪？

“在近一個月的測試期間,深信服XDR平臺共產(chǎn)生1615875443個安全日志,聚合而成278802個安全告警,最終生成94個安全事件,告警削減效率提升2965倍。每位安全運營人員每天僅能處理500條告警,以往10+人花費10+天都處理不完,現(xiàn)在1人1天即可高質(zhì)量研判完所有安全事件,安全告警結(jié)合威脅定性,可以將非病毒和掃描類的研判完畢。”

當安全工程師充滿底氣地匯報出這組數(shù)據(jù),事實證明,“深信服XDR平臺切切實實為用戶帶來安全效果”,不是一句“空談”。

不僅如此,對比相同一臺態(tài)勢感知在同一天的告警數(shù)量,深信服XDR的告警削減比例接近10倍。

點擊查看每條告警,都由大量日志聚合而成

就在一個月前,該用戶還深陷苦惱中:

安全設備都買了,但沒感受到效果

以往的態(tài)勢感知與防火墻建設碎片化,設備分開運營,病毒、木馬、挖礦告警太多,且大都是業(yè)務誤報觸發(fā)的告警,難以快速發(fā)現(xiàn)定向攻擊。

告警研判分析難度大,效率低下

現(xiàn)網(wǎng)有各類廠商的不同安全設備,各個產(chǎn)品的告警非常分散,單獨處理對應告警分析難度高且工作量過大,導致安全響應效率低下。

深信服XDR平臺上線后,通過網(wǎng)端一手遙測數(shù)據(jù)聚合分析能力,大幅削減來源于EDR和態(tài)勢感知(含第三方軟件)的海量告警,并能完整還原出攻擊故事線,精準狙擊攻擊者的入口點及影響面。

安全效果直觀可視,用戶都忍不住好奇:到底是怎么做到的?

首先了解下,深信服XDR所定義的安全事件:

收集多源遙測數(shù)據(jù),編織以往零散割裂的信息,形成用戶需要優(yōu)先關注、能體現(xiàn)攻擊全貌的安全事件。

能夠深度理解安全日志的內(nèi)容,在更細粒度層面做智能化處理。

從遙測數(shù)據(jù)、安全日志、安全告警,到深信服XDR所定義的安全事件,這背后依賴海量數(shù)據(jù)的高性能流式分析架構結(jié)合列式存儲,也是XDR與以往SIEM類產(chǎn)品的關鍵差異。

從架構來看,一個或多個安全日志可能會經(jīng)過聚合、去重、消減、過濾、融合等處理機制,實現(xiàn)告警降噪的效果。

接下來,我們詳細講講,深信服XDR如何實現(xiàn)極致降噪?

三重降噪方式,效果直觀可視

降噪的本質(zhì)就是壓縮有效信息,并基于更多有效的數(shù)據(jù),提供豐富的上下文舉證。

XDR極致降噪的方式,包括網(wǎng)絡側(cè)降噪、終端側(cè)降噪和網(wǎng)端關聯(lián)降噪。

1.網(wǎng)絡側(cè)降噪

多對一降噪:當黑客采用多個源IP,暴破同一個資產(chǎn),無論持續(xù)了多長時間、成功與否,深信服XDR只需要給用戶呈現(xiàn)一條事件或告警,在首次生成告警后,在該告警詳情里持續(xù)更新。

一對多降噪:當內(nèi)網(wǎng)某一個資產(chǎn)淪陷后,黑客會橫向掃描多個內(nèi)網(wǎng)資產(chǎn),無論掃描多少資產(chǎn)、利用多少掃描方式,深信服XDR通過時間線關聯(lián),僅生成一條橫向掃描的安全事件。

一對一降噪:黑客持續(xù)攻擊一個資產(chǎn),過程中可能利用了多種類似攻擊手法,比如利用同一個漏洞,執(zhí)行了多個不同的惡意命令,深信服XDR可以根據(jù)命中的安全日志,持續(xù)聚合成一條告警。

跨階段關聯(lián)降噪:將早期dnslog、WebShell上傳+通信、內(nèi)網(wǎng)橫向等攻擊,跨階段關聯(lián)在一起,深信服XDR以自動化方式,聚合成一個完整的安全事件。

2. 終端側(cè)降噪

傳統(tǒng)病毒查殺降噪:針對傳統(tǒng)病毒類告警,可以提取出病毒路徑、病毒名稱、病毒hash等關鍵因子,按hash唯一和類別唯一兩種模式,深信服XDR將同一病毒產(chǎn)生的告警聚合到一個安全事件中。

高級威脅降噪:針對例如無文件攻擊的高級威脅,深信服XDR按時間順序記錄用戶環(huán)境中發(fā)生的一切行為,將所有遙測數(shù)據(jù)串成一個圖?；谒菰磮D通過時間、資產(chǎn)、網(wǎng)絡、情報等多因子進行關聯(lián),選取與威脅相關的實體和關系作為點和邊,形成一張小型威脅圖,最終形成可視化的攻擊故事鏈。

傳統(tǒng)病毒查殺+高級威脅降噪:如果黑客進行一系列高級威脅攻擊行為后,仍然落盤了一個可疑文件,被EDR殺毒檢出,深信服XDR會將殺毒告警在進程鏈進行匹配,意味著傳統(tǒng)病毒查殺和高級威脅降噪合二為一。

3. 網(wǎng)端關聯(lián)降噪

根據(jù)網(wǎng)端發(fā)生“相同事情”的關聯(lián)性,網(wǎng)端關聯(lián)分為強關聯(lián)、邏輯關聯(lián)和弱關聯(lián),關聯(lián)強度越強,泛化能力就越弱。

深信服XDR網(wǎng)端關聯(lián)引擎,可以自動高效地串聯(lián)起多維度安全信息,不僅提高對未知威脅、隱蔽攻擊的檢出率,還通過充分的溯源舉證,大幅提高安全事件的準確度,幫助安全團隊能做判斷,敢做判斷,高效處置。

值得強調(diào)的是,這一切都是自動化完成的。

第三方數(shù)據(jù)收集,平臺開放亦可生長

需要圈重點的是,降噪能力在不同廠商設備間相通,深信服XDR平臺能夠收集來自多家第三方廠商的數(shù)據(jù)源。

深信服XDR將語義識別引擎和多級關聯(lián)分析引擎創(chuàng)新結(jié)合,實現(xiàn)自動化的理解遙測數(shù)據(jù)和檢測日志,“左手翻譯、右手聚合”,持續(xù)將不同設備對同一次攻擊產(chǎn)生的多條告警合為一條告警,將同一次攻擊在不同階段發(fā)起的多次嘗試融為一個事件。

深信服XDR平臺通過內(nèi)置告警降噪、智能對抗、威脅定性等能力屬性,結(jié)合安全GPT等AI技術持續(xù)賦能,提升威脅對抗的效果和效率,構建安全運營的全新范式,實現(xiàn)「秒級閉環(huán),百倍提效,千萬級降本」的效率和能力躍升,助力每一位用戶「安全領先一步」。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）