版块 安全类 安全感知平台SIP 探针标准模式跟高级模式有什么差别呢
探针标准模式跟高级模式有什么差别呢

知足常乐961 2025-7-18 09:3850

{{ttag.title}}
探针标准模式跟高级模式有什么差别呢

该疑问已被 解决,获得了 20 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善
 直达楼层 小鱼儿 Lv22
官方回答和第三方回答:

探针的标准模式和高级模式主要在日志传输和占用资源方面存在差别。以下是具体的区别:

日志传输模式的作用:

方便用户根据业务场景需求选择不同的日志传输模式,STA可以同步不同类型的日志到SIP进行分析。
模式区别:

标准模式:

适用于关注网络安全场景或多分支中总部探针场景。
占用网络资源适中。
同步安全检测日志、访问检测日志中的风险访问/违规访问,协议审计日志中的DNS协议审计日志、SMB协议审计日志、邮件协议审计日志、AD域协议审计日志。
高级模式:

适用于内网安全较严格场景或多分支中分支探针场景。
占用资源较高。
同步安全检测日志、访问检测日志、协议审计日志[1]
客服知识库内容-探针的标准模式和高级模式的区别是什么
日志传输模式的作用:方便用户根据业务场景需求能选择不同的日志传输模式,STA即可同步不同类型的日志到SIP进行分析配置路径:以标准版本STA3.0.45为例:【系统】-【安全感知平台】-【日志传输模式】进行操作STA各个日志传输模式的区别【精简模式】:适用于专网场景或多分支场景,探针与感知系统之间占用带宽较小,只同步安全检测日志。【标准模式】:适用于关注网络安全场景或多分支中总部探针场景,占用网络资源适中,同步安全检测日志,访问检测日志中的风险访问/违规访问,协议审计日志中的DNS协议审计日志、SMB协议审计日志、邮件协议审计日志、AD域协议审计日志。【高级模式】:适用于内网安全较严格场景或多分支中分支探针场景,但占用资源较高,同步安全检测日志、访问检测日志、协议审计日志【局域网模式】:适用于局域网场景,检测横向访问流量,占用资源较小,同步安全检测日志中的漏洞利用攻击检测日志和协议审计日志中的SMB协议审计日志。【自定义模式】:适用于自定义场景,可选择同步安全检测日志、访问检测日志、协议审计日志中的具体日志信息。注意事项:【高级设置】默认审计2M大小的文件。建议使用默认配置。
希望这些信息能帮助您更好地理解探针的标准模式和高级模式之间的差异!

深信服的探针(通常指流量探针或安全感知探针)在标准模式和高级模式下的主要差异体现在流量采集深度、分析能力、资源消耗及适用场景上。以下是具体对比:

1. 流量采集深度
维度                     标准模式                                     高级模式
协议解析        基础协议识别(HTTP/S、DNS等)        深度协议解析(如HTTP头部、部分Payload、TLS SNI等)
加密流量        仅元数据分析(IP/端口/流量特征)        支持部分解密(需配置证书)或行为建模分析
数据包处理        部分采样或关键字段提取        全流量捕获或深度包检测(DPI)
2. 安全分析能力
维度                                         标准模式                        高级模式
威胁检测        基于规则库的已知威胁检测        结合AI/UEBA的未知威胁检测
日志粒度        基础日志(五元组+事件类型)        详细上下文日志(如用户行为、文件哈希)
关联分析        单事件告警        多事件关联分析(如横向移动链)
3. 资源消耗与性能
维度        标准模式        高级模式
CPU/内存        低负载(适合中小规模网络)        高负载(需高性能服务器)
存储需求        日志压缩率高,存储占用小        原始数据保留多,存储需求大
网络延迟        几乎无影响        可能引入微秒级延迟
4. 适用场景
标准模式:

合规性基础监控(等保2.0一级/二级)

带宽受限环境(如分支机构)

对性能敏感的业务系统

高级模式:

高级威胁狩猎(APT、零日攻击)

加密流量审计(如HTTPS恶意软件检测)

需要取证分析的场景(如数据泄露调查)

本答案是否对你有帮助?
王老师 发表于 2025-7-18 10:19
  
功能定位差异
标准模式
核心功能:同步安全检测日志、访问检测日志中的风险访问/违规访问,以及协议审计日志(如DNS、SMB、邮件、AD域协议审计)。
场景适配:专为关注网络安全态势的总部或多分支机构设计,通过中等网络资源占用实现基础安全监控。例如,某企业总部需实时监测各分支机构的网络攻击行为(如DDoS、暴力破解),标准模式可覆盖此类需求。
高级模式
核心功能:在标准模式基础上,增加对协议审计日志的全面同步(如HTTP、FTP等),并强化内网安全检测能力。
场景适配:针对内网安全要求严苛或分支节点复杂的环境(如金融、政府机构),通过深度协议解析和威胁关联分析,识别隐蔽攻击(如APT、数据泄露)。例如,某银行分支机构需检测内部员工违规访问核心数据库的行为,高级模式可提供更精细的审计能力。
王老师 发表于 2025-7-18 10:17
  
态势感知探针的标准模式与高级模式在功能定位、资源占用及适用场景上存在显著差异,标准模式以“轻量化安全检测”为核心,适用于总部或多分支机构的网络安全监控;高级模式则通过“全维度威胁覆盖”实现深度防御,适用于内网安全要求严苛或分支节点复杂的环境。
andy_AAAAA 发表于 2025-7-18 10:08
  
各种日志传输模式的区别:
精简模式:适用于专网场景或多分支场景,仅同步安全检测日志,占用带宽较小。
标准模式:适用于关注网络安全的场景,占用网络资源适中,能够同步多种日志。
高级模式:适用于内网安全较严格的场景,能够同步多种日志,但占用资源较高。
局域网模式:适用于局域网场景,检测横向访问流量,占用资源较小。
自定义模式:适用于自定义场景,可以选择同步具体的日志信息
新手260505 发表于 2025-7-18 09:41
  
日志传输模式的作用:方便用户根据业务场景需求能选择不同的日志传输模式,STA即可同步不同类型的日志到SIP进行分析

配置路径:以标准版本STA3.0.45为例:【系统】-【安全感知平台】-【日志传输模式】进行操作



STA各个日志传输模式的区别

【精简模式】:适用于专网场景或多分支场景,探针与感知系统之间占用带宽较小,只同步安全检测日志。

【标准模式】:适用于关注网络安全场景或多分支中总部探针场景,占用网络资源适中,同步安全检测日志,访问检测日志中的风险访问/违规访问,协议审计日志中的DNS协议审计日志、SMB协议审计日志、邮件协议审计日志、AD域协议审计日志。

【高级模式】:适用于内网安全较严格场景或多分支中分支探针场景,但占用资源较高,同步安全检测日志、访问检测日志、协议审计日志

【局域网模式】:适用于局域网场景,检测横向访问流量,占用资源较小,同步安全检测日志中的漏洞利用攻击检测日志和协议审计日志中的SMB协议审计日志。

【自定义模式】:适用于自定义场景,可选择同步安全检测日志、访问检测日志、协议审计日志中的具体日志信息。



注意事项:【高级设置】默认审计2M大小的文件。建议使用默认配置
发表新帖 收藏 回复本帖
分享

等我来答:

换一批

发表新帖
作者其他文章
上网行为管理配置有没有最佳实践呢 1G的探针流量是指上传下载的流量总共1G吗 MDR服务具体是啥呢?
热门标签
全部标签>
每日一问
新版本体验
纪元平台
GIF动图学习
功能体验
标准化排查
安全效果
产品连连看
安装部署配置
高手请过招
社区新周刊
测试报告
【 社区to talk】
每周精选
信服课堂视频
答题自测
技术笔记
西北区每日一问
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
日志审计
问题分析处理
流量管理
每日一记
运维工具
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
平台使用
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案
转盘
任务
商城
勋章
成长计划

本版版主

XiaoYang’
8
25
6

发帖

粉丝

关注

本版热帖

本版达人

ggbang

本周建议达人

adds

本周提问达人