×

MSS-XDR底座新客户切换指导手册
  

新手182831 1429

{{ttag.title}}
一、背景
组件+平台+服务是公司的战略,未来SAAS-XDRMSS一定是天然融合在一起的平台+组件+服务的SAAS模式。
研发目前已经完成MSSP安全能力迁移至“XDR能力引擎+安全分析中台”的开发工作,也已经分别在测试环境和线上环境完成了安全效果的测试和验收,也在线上进行了60+客户为期2个月的运营,目前看来新底座的安全效果是不弱于老底座的,在一些场景效果比老底座更好,目前也有约300MSS+XDR客户在线上正常运营。因此计划于12.7晚升级后,MSS新客户全面接入新底座。
二、新客户接入新底座的影响和改动点
影响范围:只影响12.7晚平台升级后,在MSSP上新创建的客户
改动点:1、除TSS设备保持接入方式不变,其他设备接入时,需要在设备侧选择接入XDR或云图;具体接入方式参见第三章《新客户设备接入流程》
2、设备后端数据流变化,见下图
三、设备接入流程
1、接入前置检查项【所有客户通用】
1)版本确认
        新底座支持的接入设备版本在以下链接查询:
[url=]https://support.sangfor.com.cn/productDocument/read?product_id=102&version_id=674&category_id=251097[/url]

注意,因新底座新流程对设备版本要求较高,所以按以下规范执行:
1当设备版本满足接入要求,按新流程接入
2当设备版本不满足要求(包括需要打补丁的方式),需要引导升级,再按新流程接入
3当设备版本不满足要求(包括需要打补丁的方式),且无法升级,按照老的流程接入

老底座支持的接入版本:
                AF:新架构主线版本都支持,老架构8.0.8以上的主线版本都支持
        SIP3.0.20以后的版本都支持
        NTANTA2.0.3-2.0.6 以及NTA 3.0.1Y 3.0.2Y支持
                STA:不支持接入老底座
                EDR3.5.2以上版本支持
                CWPP:所有版本均支持

        2)设备网络放通处理
        [url=]MSS需要放开的IP及域名列表.xlsx[/url]

2、不同场景接入指导
首先解释下不同场景:
1)新底座纯MSS客户:没有购买XDR2023.12.8后在MSSP创建的客户,或2023.12.8之前单独跟服务经理沟通切换了底座的客户
2)新底座MSS+XDR客户:购买了XDR2023.12.8后在MSSP创建的客户,或2023.12.8之前单独跟服务经理沟通切换了底座的客户
3)老底座纯MSS客户:没有购买XDR,除(1)范围外的所有客户
4)老底座MSS+XDR客户:购买了XDR,除(2)范围外的客户
以上场景区分影响AFSIPNTASTAEDRCWPP设备的接入,不影响TSS接入
3、新底座纯MSS客户/新底座MSS+XDR客户
1、 SIP/NTA设备接入
1)在MSSP上添加新设备
进入MSSP>>设备管理页面,平台选择MSSP,点击新增按钮进行新增设备,设备信息选择SIP,再填写设备名称、接入账号、接入密码与分支名称即可创建SIP设备。
2)将设备接入云图或XDR
SIP3.0.69-3.0.71版本
SIP设备界面,进入工具箱”>>“响应工具”>>“深信服XDR平台页面
在页面接入方式选择云端XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,点击保存;
切换到数据上报页面,开启数据上报
IP3.0.77-3.0.82版本/NTA3.0.4Y版本
SIP设备界面,进入“工具箱>>响应工具>>深信服XDR平台页面;
在数据上报页面点击新增按钮,设备类型选择云图或XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,上报策略保持默认,点击确定;
SIP3.0.83版本及以上
SIP设备界面,进入工具箱”>>“响应工具”>>“深信服XDR平台页面;
在数据上报页面点击新增按钮,设备类型选择云图(SaaS XDR/MSS),输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,上报策略保持默认,点击确定;
NTA3.0.3Y版本
NTA设备界面,进入工具箱”>>“响应工具”>>“深信服XDR平台页面;
在页面接入方式选择云端XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,点击保存;然后开启数据上报。
检查设备跳转
进入MSSP>>设备管理页面,找到创建的SIP设备,点击“管理”即可。
2AF设备接入2.1AF8.0.48AF8.0.75-AF8.0.83版本
注意:8.0.488.0.75版本需要打对接XDR的补丁包,参考以下链接
[url=]可扩展的检测与响应平台XDRSAAS-深信服技术支持[/url]
1MSSP上添加新设备
进入MSSP>>设备管理页面,平台选择MSSP,点击新增按钮进行新增设备,设备信息选择AF,再填写设备名称、接入账号、接入密码与分支名称即可创建AF设备。
注意:直接复制接入信息时文档,更方便后续接入
2)将设备接入XDR
进入AF界面,选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护”;
选择云端XDR管理平台”接入,企业ID选择MSSP平台的对应“客户ID”,接入设备名称填写MSSP平台的AF设备账号,接入密码填写MSSP平台的AF设备密码即可;点接入XDR即可;
接入成功后,下方存在开启数据上报按钮,点击开启即可。
3AF配置安全策略(已配置策略的设备可跳过此步骤)
注意:此步骤是为确保AF能正常产生安全日志,必须配置安全防护策略,如已配置策略,可忽略此步骤;
进入策略”>>“安全策略”>>“安全防护策略”页面,点击新增按钮,选择业务防护策略,名称填写策略名称,状态勾选启用,根据自身需要配置源地址、目的地址、策略优化项,点击下一步;
评估页面、防御页面根据默认配置即可,点击下一步;
检测响应页面DNS服务器选择“否”,其他根据默认配置即可,点击确定即可完成策略创建。
4)检查设备跳转
进入MSSP>>设备管理页面,找到创建的AF设备,点击“管理”即可跳转。
2.2AF8.0.85及以上
1)在XDR平台上添加新设备
从MSS跳转到XDR平台,进入配置管理”>>“产品接入”,新增AF设备,将客户ID、接入ID、接入密码、设备联动码保存,点击新增。
2AF接入XDR平台并开启数据上报
进入AF界面,选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护(XDR)”;
进入智能运营平台接入配置”页面,配置“安全防护策略”,确保域名全部放通 ,连通性测试通过,点击下一步
输入上方的XDR客户、接入ID、接入密码、设备联动码,开启数据上报;点击提交。
3)检查设备跳转
进入MSSP>>设备管理页面,平台选择SAAS-XDR,找到XDR平台同步过来的AF设备,点击“管理”即可跳转。
3EDR/AES设备接入
1)在MSSP上添加新设备
MSSP分支重新添加一个新EDR设备
注意:直接复制接入信息到临时文档,更方便后续接入
(2)将设备接入XDR
进入EDR界面,选择“系统管理”>>“联动管理”,点击“接入联动设备”按钮;
在接入联动设备窗口中,选择“使用设备账户、密码接入”;
设备类型选择深信服安全监测与响应管理平台(XDR”;
设备名称自行填写相应名称,接入方式选择SaaS XDR”或“云图”;
企业ID选择MSSP平台的对应“客户ID
接入设备名称填写MSSP平台创建的EDR设备账号,接入密码填写MSSP平台创建的EDR设备密码
点击下一步,勾选“命令通道”、“允许被单点登录到此设备”,点击确定。
3)开启联动设备准入
进入EDR界面,选择系统管理”>>“系统设备”>>“基本设置”,        勾选联动设备准入设置。
4)检查设备跳转
进入MSSP>>“客户管理”页面,左树切换到设备管理页,平台选择MSSP,找到第3步中创建的EDR设备,点击“管理”。
4、 SASE-EDR设备接入
1)在XDR上新增设备
登录SAAS XDR平台点击设置->设备管理,点击新增,设备类型选择SaaS-EDR,认证信息会自动生成设备名称、客户ID、接入ID以及接入密码, 设备信息会自动生成分支名称,其他信息按需进行修改。
点击“复制认证信息并确定”会将认证信息复制到剪切板,这样就完成XDR上SaaS-EDR设备添加。
2)云图配置
如果设备类型选择SaaS-EDR后,认证信息和设备信息为灰色,需要登录云图打开设备管理页面,找到需要对接的EDR设备,修改EDR的接入平台为:XDR(安全检测与响应平台),具体操作如下:
3SASE-EDR配置
1)点击系统管理->联动管理,点击接入联动设备,设备类型选择深信服安全检测与响应管理平台(XDR),接入方式为SaaS XDR,点击粘贴认证信息,自动填充刚从SAAS XDR平台复制的认证信息。
2)点击下一步,分别勾选“开启命令通道”、“允许被单点登录到此设备”以及“开启日志上报”;
3)二次确认EDR跟下图中域名通信情况,确认都通信正常后点击确定
1)在XDR上面查看显示设备在线。
2)点击SAAS EDR设备操作栏中的管理,可单点登录跳转到组件控制台
5、检查日志告警生成情况
1、到分析中心>检索中心和告警表检查是否有对应设备的原始日志和XDR事件生成
4、老底座纯MSS客户/MSS+XDR客户
        保持不变,按已有设备接入方式对接即可

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人