【配置指引】深信服 XDR 与安恒明御 APT Syslog 对接指导

对接概述​
      深信服 XDR（可扩展检测与响应平台）通过原生的流量采集工具与端点采集工具将关键数据聚合，实现攻击链深度溯源。安恒明御 APT 攻击预警平台通过对网络流量进行解析，发现其中的攻击事件。​
通过 Syslog 协议将安恒明御 APT 的威胁告警数据发送至深信服 XDR，可以实现：​

• 统一威胁管理：在 XDR 平台集中查看来自 APT 的威胁告警​
  
  

• 攻击链溯源：结合 XDR 的 E+N 聚合分析引擎，实现更完整的攻击链分析​
  
  

• 自动化响应：基于 APT 告警触发 XDR 的自动化响应流程
• 网络连通性要求​
  

  
  
  安恒明御 APT 设备能够访问深信服 XDR 的 Syslog 接收端口（默认 514 UDP）​

  
  
  确保防火墙策略允许 UDP 514 端口的通信​

  账户权限要求​
  

  
  
  安恒明御 APT：管理员权限（admin）​

  
  
  深信服 XDR：系统管理员权限
  典型组网架构
  互联网 → 防火墙 → 核心交换机 → 安恒明御APT（镜像流量）→交换机
  XDR旁路接入
  安恒明御 APT 配置​
  步骤 1：登录安恒明御 APT 管理界面​
  
  • 打开浏览器，输入 APT 设备管理 IP 地址​
    
    
  
  
  • 使用默认用户名admin和密码Dbapp@2014登录​
    
    
  
  
  • 首次登录需要修改默认密码​
    
    
  
  步骤 2：配置 Syslog 通知​
  
  • 进入配置界面​
    
  
  
  
  
  在左侧导航栏选择【配置】→【风险通知】​
  
  
  • 选择通知类型​
    
  
  
  
  
  服务器类型选择【SYSLOG】​
  
  
  
  
  选择数据是否加密（建议选择不加密，使用标准 Syslog）​
  
  
  
  
  点击【下一步】​
  
  
  • 配置 Syslog 服务器信息​
    
  
  
  
  
  服务器地址：输入深信服 XDR 的 IP 地址（如 192.168.1.200）​
  
  
  
  
  端口号：514（默认 Syslog 端口）​
  
  
  
  
  协议类型：UDP​
  
  
  
  
  优先级：用户级信息（info）​
  
  
  
  
  设备标识：输入 APT 设备的唯一标识（如 APT-SERVER-01）​
  
  
  • 配置发送内容​
    
  
  
  
  
  风险等级：勾选需要发送的风险等级​
  
  
  
  
  建议勾选：致命、高危、中危​
  
  
  
  
  攻击状态：勾选所有状态​
  
  
  
  
  风险类别：​
  
  
  
  
  恶意软件​
  
  
  
  
  网络攻击​
  
  
  
  
  Web 攻击​
  
  
  
  
  数据泄露​
  
  
  
  
  异常行为​
  
  
  
  
  客户网络：选择需要监控的网络段​
  
  步骤 3：配置日志详细信息​
  
  • 进入高级配置​
    
  
  
  
  
  在 Syslog 配置页面找到【高级设置】​
  
  
  • 启用详细日志​
    
  
  
  
  
  网页漏洞利用以及 Webshell 上传：勾选请求头、请求体、响应头、响应体​
  
  
  
  
  网络攻击以及威胁情报：勾选载荷内容​
  
  
  
  
  其他类型：根据需要勾选相关字段​
  
  
  • 数据外发配置（如需要）​
    
  
  
  
  
  如果没有上述选项，需要先开启数据外发：​
  
  
  
  
  【账号管理】→【本地账号配置】→【数据外发配置】​
  
  
  
  
  开启数据外发开关​
  
  
  
  
  保存配置后重新进入 Syslog 配置页面​
  
  步骤 4：保存并启用配置​
  
  • 点击【提交】保存配置​
    
    
  
  
  • 确认 Syslog 服务已启用​
    
    
  
  
  • 查看配置状态，确保显示 "已启用"​
    
    
  
  ​​
  深信服 XDR 配置​
  步骤 1：登录深信服 XDR 管理界面​
  
  • 打开浏览器，输入 XDR 平台访问地址​
    
    
  
  
  • 使用管理员账户登录​
    
    
  
  步骤 2：添加第三方设备​
  
  • 进入设备管理​
    
  
  
  
  
  在左侧导航栏选择【配置联调】→【第三方安全日志组件接入】→【三方设备日志对接指导】​
  
  
  • 选择设备类型​
    
  
  
  
  
  点击【安恒明御 APT syslog 对接指导】​
  
  
  
  
  按照指导文档进行配置​
  
  
  • 添加资产​
    
  
  
  
  
  【资产管理】→【资产】→【发现资产】​
  
  
  
  
  资产类型选择：安全设备 / APT​
  
  
  
  
  输入设备名称：安恒明御 APT​
  
  
  
  
  输入设备 IP：APT 设备的管理 IP​
  
  
  
  
  选择组织架构​
  
  
  
  
  点击【确定】​
  
  步骤 3：配置 Syslog 接收​
  
  • 进入 Syslog 配置​
    
  
  
  
  
  【系统管理】→【日志管理】→【Syslog 配置】​
  
  
  • 启用 Syslog 服务​
    
  
  
  
  
  开启 Syslog 接收开关​
  
  
  
  
  协议选择：UDP​
  
  
  
  
  端口号：514（默认）​
  
  
  
  
  编码格式：UTF-8​
  
  
  • 配置解析规则​
    
  
  
  
  
  点击【添加解析规则】​
  
  
  
  
  设备类型：安恒明御 APT​
  
  
  
  
  解析模板：选择或创建 APT 专用解析模板​
  
  
  
  
  日志格式：Syslog RFC3164​
  
  
  
  
  时间格式：根据 APT 实际发送格式配置​
  
  步骤 4：配置告警规则​
  
  • 创建 APT 告警规则​
    
  
  
  
  
  【检测配置】→【告警规则】→【添加规则】​
  
  
  
  
  规则名称：安恒明御 APT 威胁告警​
  
  
  
  
  日志来源：选择刚才添加的 APT 设备​
  
  
  
  
  告警级别映射：​
  
  
  
  
  致命 → 紧急​
  
  
  
  
  高危 → 重要​
  
  
  
  
  中危 → 警告​
  
  
  
  
  触发条件：根据业务需求配置​
  
  
  • 配置响应动作​
    
  
  
  
  
  选择需要的响应动作​
  
  
  
  
  发送邮件通知​
  
  
  
  
  创建工单​
  
  
  
  
  联动其他安全设备​
  
  ​​
  验证测试​
  测试方法 1：查看日志接收状态​
  
  • 在 XDR 中查看​
    
  
  
  
  
  【日志管理】→【原始日志查询】​
  
  
  
  
  日志来源选择：安恒明御 APT​
  
  
  
  
  查看是否有日志记录​
  
  
  
  
  确认日志格式正确解析​
  
  测试方法 2：触发测试告警​
  
  • 在 APT 中生成测试告警​
    
  
  
  
  
  【系统管理】→【维护工具】→【测试告警】​
  
  
  
  
  选择测试告警类型​
  
  
  
  
  点击【发送测试告警】​
  
  
  • 在 XDR 中验证​
    
  
  
  
  
  【告警管理】→【告警列表】​
  
  
  
  
  查看是否收到测试告警​
  
  
  
  
  确认告警级别、内容等信息正确​
  
  测试方法 3：网络连通性测试​
  
  • 检查端口连通性​
    
  
  
  ​
  
  
  # 在APT设备上执行​
  
  
  telnet XDR_IP 514​
  
  
  # 或使用nc命令​
  
  
  nc -u XDR_IP 514​
  
  
  
  
  
  ​
  
  • 查看 XDR 系统日志​
    
  
  
  
  
  检查 Syslog 服务是否正常运行​
  
  
  
  
  查看是否有连接错误日志