EDR,英文全称:Endpoint Detection and Response,中文名称是“终端检测响应平台”。是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。管理端具有 统一终端资产管理、终端病毒查杀、终端合规检查、微隔离访问控制策略统一管理等功能。可对安全事件一键隔离处置以及热点事件IOC全网威胁定位。Agent具有防病毒、 入侵防御、防火墙隔离、数据信息采集上报、一键处置等功能,对终端文件安全进行有效的保护。EDR是AES的前身; AES是在EDR产品功能基础上、同时融合了CWPP、容器产品功能,从标准版本3.8.6开始,EDR更换名字为AES(下文继续称EDR)。
XDR,英文全称:Extended Detection and Response,中文名称:可扩展的检测与响应平台;深信服XDR通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台,通过云端专家服务提供威胁分析研判及狩猎能力,提供SAAS化交付方式实现在线化效果,为用户带来深度检测、精准响应、持续生长的价值。
接下来给大家讲讲,怎么把EDR接入XDR
首先登陆深信服云图:https://x.sangfor.com.cn/portal/#/
右上角点击登陆,登陆成功后跳转云图首页,如下图所示,前提是客户有购买后,可联系云端提供客户云图账号进行绑定开通后可在以下位置找到XDR的登录入口
点击后进入XDR主页
在左侧列表中点击配置管理—产品接入
点击新增,可弹出窗口
可选择对应的设备进行联动(本帖主要以EDR为例)
填写好后点击复制认证信息并确定
接下来就是EDR上的操作了
登陆EDR平台
点击联动管理—设备联动—接入联动设备
弹窗里选择使用设备账户、密码接入,然后设备类型选择XDR
选中XDR后,粘贴刚才在XDR平台新增设备时复制的认证信息(切勿在XDR新增完设备后复制其他信息操作,否则会进行粘贴认证信息失败,若粘贴失败,可去XDR平台,点击刚才新增设备信息编辑,重新复制认证信息),粘贴完后点击下一步
下一步后其余默认无需更改,需点击开启行为数据采集,会跳转策略配置
如下图红色标注,全部选中,点击保存后,回到刚才界面
注意以下网络连通性测试,一定确保所有域名检测成功,如若检测失败,排查网络环境,是否为防火墙拦截以下域名:
| device.scloud.sangfor.com.cn:443 | |
|
| device.sangfor.com.cn:443 | |
|
| dlauth.sangfor.com.cn:443 | |
|
| datalake.sangfor.com.cn:443 | |
| upd.sangfor.com.cn | |
|
| intelligence.sangfor.com.cn | |
|
| download.sangfor.com.cn | |
点击确定后提交
提交成功后得耐心等待十分钟后可在XDR平台上看到EDR上线
此贴为EDR对接XDR的方法,其余设备AF/SIP等,XDR平台的新增设备操作都是一样,在具体设备操作如下:
SIP:
SIP对接XDR在系统设置—开放共享—数据上报,点击新增后弹窗,也可直接粘贴在XDR新增设备后复制的认证信息,而后点击确定,等待十分钟上线即可
AF:
防火墙在安全运营—高级威胁检测与防护(XDR)里对接(如下要求所示,在未打XDR补丁之前,在安全运营里是看不到此模块,所以先要合入XDR补丁包后对接)
AF接入XDR情况需根据版本确认(AF接入XDR是不需要额外的授权的,有配置界面即可配置接入):
1、老架构AF8.0.45及以下版本,AF不支持对接SAAS-XDR
2、老架构AF8.0.48,AF需加载优化包后,才有对应配置页面,只可对接SAAS-XDR
3、新架构AF8.0.75,AF需加载优化包后,才有对应配置页面,只可对接SAAS-XDR(AF8.0.75以下版本建议使用8.0.75及以上版本对接)
4、新架构AF8.0.85,AF无需加载优化包,可对接SAAS-XDR和分布式XDR
AF8.0.48版本、AF8.0.75补丁包下载地址:https://support.sangfor.com.cn/productSoftware/list?product_id=102
此贴到此结束,XDR+GPT是目前基于"平台+组件+服务"的安全理念,满足用户对深度检测、精准响应、持续生长的安全需求。
END
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-10-6 21:51
技术员3级