|
SIP和XDR区别
1)数据接入: SIP:网络流量、资产信息、漏洞信息、网络异常行为及威胁信息;SIEM模块--各类安全产品告警和日志 XDR: A、网络侧遥测数据:采集流量类数据应支持脆弱性、服务探测、主机探测、网站攻击、漏洞攻击、业务风险、DOS攻击、后门通信、账号爆破、僵尸网络攻击、邮件攻击、黑客工具攻击、异常流量等数据。各类异常数据应包含时间、设备信息、日志信息、日志分类、会话信息、源属性、目的属性、规则信息、风险等级、协议、日志状态、举证状态、举证描述等属性信息; B、终端侧遥测数据:采集终端类数据应支持进程信息、网络连接、DNS查询信息、注册表修改、文件行为、服务信息、计划任务、账号信息、WMI(Windows 管理规范)、应用漏洞利用、API信息、驱动调用、系统调用、模块事件等数据。各类异常数据应包含时间、设备信息、日志信息、日志分类、主机信息、资产信息、规则信息、风险等级、日志状态、病毒详情、文件详情、命令详情、进程详情、举证状态、举证描述等属性信息; C、其他安全工具数据:其他安全工具类数据应支持身份及访问控制类、邮件、云安全等安全工具,包含VPN、堡垒机、准入、SDP、邮件安全、容器安全等; 2)数据处理 SIP:数据接入,数据解析、数据转换、数据标准化、数据泛化富化 XDR:数据接入,数据解析、数据转换、数据标准化,数据泛化富化,数据缝合、数据编织; PS:数据缝合与编织是指关联各数据源,可以将网络侧遥测数据、终端侧遥测数据、其他安全工具数据串联后形成数据关系图谱,为支持后续更加高维的分析和调查(以往都是单点的检测,XDR可以依托编织后的数据进一步开展IOA,E+N情境分析,E+N+X聚合关联,知识图谱分析等高维的分析引擎,实现更加深度精准的检测); 3)威胁检测分析 SIP: A、基于特征匹配、关联分析、UEBA、机器学习,威胁情报等技术进行网络攻击分析 B、基于SIEM自定义关联分析规则下的威胁关联 XDR: A、基于特征配备(攻击信标),行为标识(攻陷信标),机器学习,威胁情报,威胁图谱分析,等技术进行终端威胁检测; B、基于特征匹配、关联分析、UEBA、机器学习,威胁情报等技术进行网络攻击分析 C、E+N+X情境检测:基础聚合分析,威胁相关性聚合分析,攻击行为关系 聚合分析,E+N+X威胁图谱分析; D、基于SIEM自定义关联分析规则下的威胁关联 E、基于遥测数据的自定义IOA,IOC,情境检测规则分析; 4)事件调查 SIP: A、通过IP、端口、文件,网络攻击特征开展事件调查; B、网络攻击入口(端+其他会侧断链)网络攻击路径(端+其他侧会断链),网络攻击故事线(端+其他侧会断链),网络影响面(只有IP) XDR: A、基于资产特征,主机特征,事件威胁特征开展全网威胁调查 B、攻击入口调查,攻击路径调查,主机进程链调查,攻击故事线,影响面调查; C、基于攻击时间线调查,快速向前看,向后看; 5)威胁狩猎 SIP:只能基于网络数据进行狩猎,或网络测数据+多方日志告警开展狩猎,缺乏端侧遥测数据,无法进行全局hunting和取证; XDR:全局威胁狩猎,快速全网数据取证; 6)响应处置 SIP:基于告警和单一网络事件开展处置动作;处置内容包含- IP、端口、域名、URL、文件; XDR:基于事件(E+N+X)开展处置动作,更加精准,更加高效,通过将事件威胁实体提取,包括但不限于IP、端口、域名、URL、文件、进程、命令,实现同一事件多个威胁统一处置,或实现同一威胁实体的多个资产统一处置;结合SOAR剧本更加容易发挥出统一联动编排处置的价值; 7)开放可集成 XDR:深信服最新的架构,天然就是开放可集成的,包含:数据接口开发,指令对接接口开发,第三方APP引入商店,合作方研发APP集成; | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-9-14 15:48
工程师3级 
