sip怎么和edr，af联动 10

sip怎么和edr，af联动

您好，联动与响应策略可以参考附件 01_SIP3.0.60版本联动专项指导v20211130 _20230718173059.pdf (8.13 MB, 下载次数: 29)

2023-7-18 17:34 上传

点击文件名下载附件

，希望可以帮到您！EDR与AF接入SIP参考如下说明：

从EDR2.0版本、SIP2.5.8版本开始支持联动。SIP与EDR的联动端口是EDR的TCP 443端口以及SIP的TCP7443端口
EDR配置如下
以标准版本EDR3.2.8版本操作路径示例:
先在SIP这边添加EDR设置认证账号与认证密码，然后再在EDR【设置】-【设备联动】- 【新增】正确配置好
>[设备名称]：设置联动SIP的名称
>[设备IP]：设置联动SIP的IP地址
>[认证账号]：设置SIP配置的认证账号
>[认证密码]：设置SIP配置的认证密码


SIP配置如下
以标准版本SIP3.0.17版本操作路径示例:在SIP【系统设置】-【设备管理】-【新增】正确配置好
>[接入设备IP]：EDR的IP地址
>[设备名称]：EDR设备名称
>[设备类型]：终端检测响应平台（EDR）
>[认证账号]：EDR上面设置的认证账号
>[认证密码]：EDR上面设置的认证密码

3.0.60及以上版本的SIP，还需要在联动响应模块添加EDR，填写的账号密码为设备管理添加EDR的账号密码。
详细配置路径：【admin】-【系统设置】-【设备管理】-【联动响应】-新增EDR设备



从标准版本AF7.3开始，AF支持加入安全感知系统同步安全日志包括IPS、WAF、APT的日志同步到安全感知设备
注意：截止标准版本AF8.0.75，AF传输给SIP的日志是实时的。AF通过连接SIP（安全感知平台）的TCP 4430端口同步日志
AF7.5版本新增同步应用控制日志到安全感知设备
从标准版本AF7.5.1开始，AF接入安全感知系统后，支持SIP下发联动封锁IP并可以同步安全日志和应用控制日志
如AF只给安全感知平台SIP传日志SIP可以配置【单向认证】；
如需要AF跟SIP进行联动则需要在SIP配置【双向认证】，才支持在SIP上针对AF进行IP封锁等联动策略下发
注意：
1、VAF8.0.8版本开始支持加入SIP
2、1个AF只支持对接1个SIP
配置步骤：
①以标准版本AF8.0.19-8.0.75版本操作路径示例:在【监控】-【设置】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”，然后在【安全感知系统设置】中查看和设置
②以标准版本AF7.4-8.0.17版本操作路径示例:在【系统】-【系统配置】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”，然后在【安全感知系统设置】中查看和设置
③以标准版本AF7.3版本操作路径示例:在【系统】-【日志设置】-【日志功能开启】-【安全日志】中勾选“安全感知系统”，然后在【安全感知系统设置】中查看和设置

注意：截止标准版本FW8.0.0，FW不支持接入SIP
截止标准版本AF8.0.75，英文版本AF设备暂时不支持加入到SIP。
注意：AF设备不能访问互联网也能接入安全感知
只需AF版本在7.3及以上版本，可以和安全感知的TCP4430端口通信，并且安全感知平台有剩余的深信服设备授权，即可接入安全感知。

楼下超详细，跟着配置就完了

可参考一楼设备步骤进行配置对接。希望能够帮助到你！

SIP对接AF可以实现AF同步安全日志给SIP，SIP上下发联动响应策略进行联动封锁。SIP与AF联动分为自动处置和手动联动处置

截止标准版本SIP3.0.77.SIP联动AF下发策略包含：【封锁源IP】、【访问控制】、【隔离主机】、【封锁域名/URL/IP】、【封锁攻击者IP】，在AF界面对应功能模块都可查询到

SIP联动AF处置配置步骤（以SIP3.0.77版本为例）：
1、配置AF接入SIP并在SIP-【系统设置】-【设备管理】-【设备管理】界面配置双向认证，详细参考【AF如何接入SIP？】
2、在SIP-【系统设置】-【设备管理】-【联动响应】界面配置对应版本的AF的信息
注意：如AF是8.0.48及以下版本，该界面的用户名密码是AF设备【日志设置】-【安全志势感平台】的用户名和密码；标准版本AF8.0.59及以上版本，该界面的用户名密码是AF管理员帐号密码，管理员帐号需要勾选【API】功能
自动响应策略配置：详细可参考【SIP的自动联动策略在哪儿设置？】

手动联动处置：
①从3.0.60版本开始，可以在【处置中心】-【风险租户视角】找到对应需要处理的主机，选中之后，【操作】选项里面可以进行手动联动处置
②以SIP3.0.58版本为例：登录感知平台，【响应工具箱】-【联动响应】-【联动策略】新增联动封锁或者访问控制联动AF
③以sip3.0.52为例：登录感知平台，【响应工具箱】-【联动响应-查看详情】-【联动AF】可以针对AF进行联动封锁或者访问控制，如下为联动封锁的实例：


注意：
1、从AF7.5.1版本开始，且设备已经接入安全感知后，才支持SIP下发联动封锁策略给AF
2、从AF8.0.2版本开始，且设备已经接入安全感知后，才支持sip下发应用控制策略给AF
3、截止标准版本SIP3.0.77，SIP暂不支持根据IP范围或者IP网段下发联动封锁 （即便下发时可以填写，但是在AF上也看不到下发的网段或者地址范围）
4、截止标准版本SIP3.0.77，SIP联动AF下发封锁策略，不支持永久封锁，但可以下发访问控制策略实现永久封堵的效果
5、SIP【重保中心】-【联动封锁】模块中下发联动封锁需要AF为8.0.28以上版本且需完成双向认证配置



SIP与EDR的联动端口是EDR的TCP 443端口以及SIP的TCP7443端口

EDR配置如下
以标准版本EDR3.2.8版本操作路径示例:
在EDR【设置】-【设备联动】- 【新增】正确配置好
>[设备名称]：设置联动SIP的名称
>[设备IP]：设置联动SIP的IP地址
>[认证账号]：设置认证账号
>[认证密码]：设置认证密码


SIP配置如下
以标准版本SIP3.0.17版本操作路径示例:在SIP【系统设置】-【设备管理】-【新增】正确配置好
>[接入设备IP]：EDR的IP地址
>[设备名称]：EDR设备名称
>[设备类型]：终端检测响应平台（EDR）
>[认证账号]：EDR上面设置的认证账号
>[认证密码]：EDR上面设置的认证密码

注意：EDR上需要开启允许联动设备准入，参考路径：【系统管理】-【系统设置】-【基本设置】勾选联动设备准入设置,否则接入失败

楼下专业的 ，向专业靠齐

一楼专业解答，学习学习。

可参考一楼设备步骤进行配置对接。希望能够帮助到你！

SIP对接AF可以实现AF同步安全日志给SIP，SIP上下发联动响应策略进行联动封锁。SIP与AF联动分为自动处置和手动联动处置

截止标准版本SIP3.0.77.SIP联动AF下发策略包含：【封锁源IP】、【访问控制】、【隔离主机】、【封锁域名/URL/IP】、【封锁攻击者IP】，在AF界面对应功能模块都可查询到

SIP联动AF处置配置步骤（以SIP3.0.77版本为例）：
1、配置AF接入SIP并在SIP-【系统设置】-【设备管理】-【设备管理】界面配置双向认证，详细参考【AF如何接入SIP？】
2、在SIP-【系统设置】-【设备管理】-【联动响应】界面配置对应版本的AF的信息
注意：如AF是8.0.48及以下版本，该界面的用户名密码是AF设备【日志设置】-【安全志势感平台】的用户名和密码；标准版本AF8.0.59及以上版本，该界面的用户名密码是AF管理员帐号密码，管理员帐号需要勾选【API】功能
自动响应策略配置：详细可参考【SIP的自动联动策略在哪儿设置？】

手动联动处置：
①从3.0.60版本开始，可以在【处置中心】-【风险租户视角】找到对应需要处理的主机，选中之后，【操作】选项里面可以进行手动联动处置
②以SIP3.0.58版本为例：登录感知平台，【响应工具箱】-【联动响应】-【联动策略】新增联动封锁或者访问控制联动AF
③以sip3.0.52为例：登录感知平台，【响应工具箱】-【联动响应-查看详情】-【联动AF】可以针对AF进行联动封锁或者访问控制，如下为联动封锁的实例：


注意：
1、从AF7.5.1版本开始，且设备已经接入安全感知后，才支持SIP下发联动封锁策略给AF
2、从AF8.0.2版本开始，且设备已经接入安全感知后，才支持sip下发应用控制策略给AF
3、截止标准版本SIP3.0.77，SIP暂不支持根据IP范围或者IP网段下发联动封锁 （即便下发时可以填写，但是在AF上也看不到下发的网段或者地址范围）
4、截止标准版本SIP3.0.77，SIP联动AF下发封锁策略，不支持永久封锁，但可以下发访问控制策略实现永久封堵的效果
5、SIP【重保中心】-【联动封锁】模块中下发联动封锁需要AF为8.0.28以上版本且需完成双向认证配置



SIP与EDR的联动端口是EDR的TCP 443端口以及SIP的TCP7443端口

EDR配置如下
以标准版本EDR3.2.8版本操作路径示例:
在EDR【设置】-【设备联动】- 【新增】正确配置好
>[设备名称]：设置联动SIP的名称
>[设备IP]：设置联动SIP的IP地址
>[认证账号]：设置认证账号
>[认证密码]：设置认证密码


SIP配置如下
以标准版本SIP3.0.17版本操作路径示例:在SIP【系统设置】-【设备管理】-【新增】正确配置好
>[接入设备IP]：EDR的IP地址
>[设备名称]：EDR设备名称
>[设备类型]：终端检测响应平台（EDR）
>[认证账号]：EDR上面设置的认证账号
>[认证密码]：EDR上面设置的认证密码

注意：EDR上需要开启允许联动设备准入，参考路径：【系统管理】-【系统设置】-【基本设置】勾选联动设备准入设置,否则接入失败

可以咨询您所在区域考试相关负责人员