本帖最后由 李会斌 于 2024-3-18 14:44 编辑
一、背景 组件+平台+服务是公司的战略,未来SAAS-XDR和MSS一定是天然融合在一起的平台+组件+服务的SAAS模式。 研发目前已经完成MSSP安全能力迁移至“XDR能力引擎+安全分析中台”的开发工作,也已经分别在测试环境和线上环境完成了安全效果的测试和验收,也在线上进行了60+客户为期2个月的运营,目前看来新底座的安全效果是不弱于老底座的,在一些场景效果比老底座更好,目前也有约300个MSS+XDR客户在线上正常运营。因此计划于12.7晚升级后,MSS新客户全面接入新底座。 二、新客户接入新底座的影响和改动点 影响范围:只影响12.7晚平台升级后,在MSSP上新创建的客户
改动点:1、除TSS设备保持接入方式不变,其他设备接入时,需要在设备侧选择接入XDR或云图;具体接入方式参见第三章《新客户设备接入流程》 2、设备后端数据流变化,见下图 三、设备接入流程 1、接入前置检查项【所有客户通用】 (1)版本确认 新底座支持的接入设备版本在以下链接查询: [url=]https://support.sangfor.com.cn/productDocument/read?product_id=102&version_id=674&category_id=251097[/url]
注意,因新底座新流程对设备版本要求较高,所以按以下规范执行: (1)当设备版本满足接入要求,按新流程接入 (2)当设备版本不满足要求(包括需要打补丁的方式),需要引导升级,再按新流程接入 (3)当设备版本不满足要求(包括需要打补丁的方式),且无法升级,按照老的流程接入
老底座支持的接入版本:
AF:新架构主线版本都支持,老架构8.0.8以上的主线版本都支持 SIP:3.0.20以后的版本都支持 NTA:NTA2.0.3-2.0.6 以及NTA 3.0.1Y 、3.0.2Y支持
STA:不支持接入老底座
EDR:3.5.2以上版本支持
CWPP:所有版本均支持
(2)设备网络放通处理 [url=]MSS需要放开的IP及域名列表.xlsx[/url]
2、不同场景接入指导 首先解释下不同场景: (1)新底座纯MSS客户:没有购买XDR,2023.12.8后在MSSP创建的客户,或2023.12.8之前单独跟服务经理沟通切换了底座的客户
(2)新底座MSS+XDR客户:购买了XDR,2023.12.8后在MSSP创建的客户,或2023.12.8之前单独跟服务经理沟通切换了底座的客户 (3)老底座纯MSS客户:没有购买XDR,除(1)范围外的所有客户
(4)老底座MSS+XDR客户:购买了XDR,除(2)范围外的客户
以上场景区分影响AF、SIP、NTA、STA、EDR、CWPP设备的接入,不影响TSS接入 3、新底座纯MSS客户/新底座MSS+XDR客户 1、 SIP/NTA设备接入 (1)在MSSP上添加新设备进入MSSP>>设备管理页面,平台选择MSSP,点击新增按钮进行新增设备,设备信息选择SIP,再填写设备名称、接入账号、接入密码与分支名称即可创建SIP设备。 (2)将设备接入云图或XDR SIP3.0.69-3.0.71版本SIP设备界面,进入“工具箱”>>“响应工具”>>“深信服XDR平台页面; 在页面接入方式选择云端XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,点击保存; 切换到数据上报页面,开启数据上报 IP3.0.77-3.0.82版本/NTA3.0.4Y版本SIP设备界面,进入“工具箱”>>“响应工具”>>“深信服XDR平台页面; 在数据上报页面点击新增按钮,设备类型选择云图或XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,上报策略保持默认,点击确定; SIP3.0.83版本及以上SIP设备界面,进入“工具箱”>>“响应工具”>>“深信服XDR平台页面; 在数据上报页面点击新增按钮,设备类型选择云图(SaaS XDR/MSS),输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,上报策略保持默认,点击确定; NTA3.0.3Y版本NTA设备界面,进入“工具箱”>>“响应工具”>>“深信服XDR平台页面; 在页面接入方式选择云端XDR,输入MSSP客户ID,以及MSSP分支上的设备接入账号密码,点击保存;然后开启数据上报。 (3)检查设备跳转 进入MSSP>>设备管理页面,找到创建的SIP设备,点击“管理”即可。 2、AF设备接入2.1、AF8.0.48、AF8.0.75-AF8.0.83版本注意:8.0.48、8.0.75版本需要打对接XDR的补丁包,参考以下链接 [url=]可扩展的检测与响应平台XDR(SAAS)-深信服技术支持[/url] (1)在MSSP上添加新设备进入MSSP>>设备管理页面,平台选择MSSP,点击新增按钮进行新增设备,设备信息选择AF,再填写设备名称、接入账号、接入密码与分支名称即可创建AF设备。 注意:直接复制接入信息时文档,更方便后续接入 (2)将设备接入XDR进入AF界面,选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护”; 选择“云端XDR管理平台”接入,企业ID选择MSSP平台的对应“客户ID”,接入设备名称填写MSSP平台的AF设备账号,接入密码填写MSSP平台的AF设备密码即可;点接入XDR即可; 接入成功后,下方存在开启数据上报按钮,点击开启即可。 (3)AF配置安全策略(已配置策略的设备可跳过此步骤)注意:此步骤是为确保AF能正常产生安全日志,必须配置安全防护策略,如已配置策略,可忽略此步骤; 进入“策略”>>“安全策略”>>“安全防护策略”页面,点击新增按钮,选择业务防护策略,名称填写策略名称,状态勾选启用,根据自身需要配置源地址、目的地址、策略优化项,点击下一步; 评估页面、防御页面根据默认配置即可,点击下一步; 检测响应页面DNS服务器选择“否”,其他根据默认配置即可,点击确定即可完成策略创建。 (4)检查设备跳转进入MSSP>>设备管理页面,找到创建的AF设备,点击“管理”即可跳转。 2.2、 AF8.0.85及以上 (1)在XDR平台上添加新设备 从MSS跳转到XDR平台,进入“配置管理”>>“产品接入”,新增AF设备,将客户ID、接入ID、接入密码、设备联动码保存,点击新增。 (2)AF接入XDR平台并开启数据上报 进入AF界面,选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护(XDR)”; 进入“智能运营平台接入配置”页面,配置“安全防护策略”,确保域名全部放通 ,连通性测试通过,点击下一步 输入上方的XDR客户、接入ID、接入密码、设备联动码,开启数据上报;点击提交。 (3)检查设备跳转进入MSSP>>设备管理页面,平台选择SAAS-XDR,找到XDR平台同步过来的AF设备,点击“管理”即可跳转。 3、EDR/AES设备接入(1)在MSSP上添加新设备 在MSSP分支重新添加一个新EDR设备 注意:直接复制接入信息到临时文档,更方便后续接入 (2)将设备接入XDR 进入EDR界面,选择“系统管理”>>“联动管理”,点击“接入联动设备”按钮; 在接入联动设备窗口中,选择“使用设备账户、密码接入”; 设备类型选择“深信服安全监测与响应管理平台(XDR)”; 设备名称自行填写相应名称,接入方式选择“SaaS XDR”或“云图”; 企业ID选择MSSP平台的对应“客户ID”; 接入设备名称填写MSSP平台创建的EDR设备账号,接入密码填写MSSP平台创建的EDR设备密码; 点击下一步,勾选“命令通道”、“允许被单点登录到此设备”,点击确定。 (3)开启联动设备准入 进入EDR界面,选择“系统管理”>>“系统设备”>>“基本设置”, 勾选联动设备准入设置。 (4)检查设备跳转 进入MSSP>>“客户管理”页面,左树切换到设备管理页,平台选择MSSP,找到第3步中创建的EDR设备,点击“管理”。 4、 SASE-EDR设备接入 (1)在XDR上新增设备 登录SAAS XDR平台点击设置->设备管理,点击新增,设备类型选择SaaS-EDR,认证信息会自动生成设备名称、客户ID、接入ID以及接入密码, 设备信息会自动生成分支名称,其他信息按需进行修改。 点击“复制认证信息并确定”会将认证信息复制到剪切板,这样就完成XDR上SaaS-EDR设备添加。 (2)云图配置 如果设备类型选择SaaS-EDR后,认证信息和设备信息为灰色,需要登录云图打开设备管理页面,找到需要对接的EDR设备,修改EDR的接入平台为:XDR(安全检测与响应平台),具体操作如下: (3)SASE-EDR配置 1)点击系统管理->联动管理,点击接入联动设备,设备类型选择深信服安全检测与响应管理平台(XDR),接入方式为SaaS XDR,点击粘贴认证信息,自动填充刚从SAAS XDR平台复制的认证信息。 2)点击下一步,分别勾选“开启命令通道”、“允许被单点登录到此设备”以及“开启日志上报”; 3)二次确认EDR跟下图中域名通信情况,确认都通信正常后点击确定 (4)上线成功检查 1)在XDR上面查看显示设备在线。 2)点击SAAS EDR设备操作栏中的管理,可单点登录跳转到组件控制台 5、检查日志告警生成情况1、到分析中心>检索中心和告警表检查是否有对应设备的原始日志和XDR事件生成 4、老底座纯MSS客户/MSS+XDR客户 保持不变,按已有设备接入方式对接即可 |