XX场景之分布式XDR+GPT+SOAR测试分享
  

李园长 8297

{{ttag.title}}
主题:XX场景之分布式XDR+GPT+SOAR测试分享(后续材料还会持续优化更新哟)
1.测试背景:
1.1已有设备调研
①态势感知:
已有奇安信的天眼和科来流量分析系统
②网侧设备AF及WAF:
有各个安全厂家安全设备,如深信服、启明、天融信、奇安信、华三等安全设备
③端侧设备:
青藤终端杀软

2.部署环境调研
2.1虚拟化环境调研:
①客户侧有VMware(6.5版本)环境及我司HCI(6.7.0版本)环境,按照标准的XDR虚拟化部署要求,很明显不满足,咨询总部XDR专家,回复老版本HCI通过HCI巡检即可,但建议还是部署在6.8.0及以上环境!(本次测试分布式XDR部署在客户互联网区域HCI),详细可参考虚拟化环境要求安全运营方案(分布式XDR+GPT)交付资料汇总贴-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
2.2资源要求调研:
①详细参考分布式XDR虚拟化部署资源要求,与客户沟通部署在HCI环境,但所需要资源过大,客户第一反应为资源要求为什么这么大!详细可以查看XDR部署资料和总部专家答复和市场(售前)一起答复客户,针对客户进行引导不要被客户思维带偏(后续客户同意给对应资源部署)!
2.3后期配合调研:
①客户比较严谨,需要提前确认好HCI资源申请找哪位客户、组件之前网络打通、XDR连接互联网需要找哪位客户、镜像流量开通需要找哪位客户、确认XDR流量上云检测(运营GPT)提前告知报备及客户授权等(SAAS GPT需要售前提前走测试申请

3.需求(痛点)分析:
3.1态势感知
客户已有奇安信和科来流量分析系统:
其一:两个平台都各自割裂,客户需要反复登录两个平台来看全网安全态势,且两个平台无云端能力赋能,只能靠定期更新规则库来及时提升检测能力
其二:两个平台产生海量告警,绝大部分告警为无效告警或误报,海量告警导致客户技术人员将大量精力消耗在无效告警中,往往因精力或平台误报等问题导致真实告警被忽略
其三:无法联动网络侧组件(AF、WAF等)及端侧(终端杀软)组件,导致处置效率缓慢,针对真实攻击无法第一时间进行阻断和拦截
其四:态势感知及流量分析系统无法接入网侧安全日志、端侧设备行为日志进行更全面的分析
其五:态势感知及流量分析系统需要专业安全技术人员进行运维,入门门槛较高,需要高级安全人才
注意!!前期环境调研及需求调研配合售前进行,详细分工合作可参考标准测试流程

4.部署安装
4.1准备最新分布式XDR安装包(提XDR测试流程,找原厂或何星要包即可)
4.2客户侧环境调研没问题就可以上门预约部署分布式XDR
4.3虚拟化部署XDR组集群及网络配置,详细严格参考XDR虚拟化部署专题03 虚拟化部署专题-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
4.4部署过程踩坑:
存储资源按照一个XDR虚拟机10T进行分配安装系统报错,如下图所示(故障原因:2个5T盘需要给存储分别为5120G方可):

授权踩坑:授权导入后XDR平台缺少大部分功能(故障原因:授权必须登录集群控制台导入才可,非集群节点导入会存在异常)

4.5部署完成后,如果不是目前最新优先推荐测试版本则建议升级推荐版本(升级目前会有总部保障,本次测试升级为20版本升级31然后再从31版本升级最新35版本,升级版本需要花费较多时间,需要提前与客户沟通)

4.6XDR部署及升级总结:详细参看support平台关于分布式XDR部署前后的详细文档,提前准备对应资源,避免到时手忙脚乱

5.配置联调
5.1产品接入(深信服自有产品接入)
自有产品注意事项:
(1)注意接入组件(SIP、AF、WAF、EDR(AES)、STA)的版本是否符合接入xdr要求,以及响应组件的授权也需要进行检查,详细可参考support组件对接部分材料XDR组件对接-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(2)需要提前沟通客户侧负责(SIP、AF、WAF、EDR(AES)、STA)的客户提前沟通组件接入分布式XDR的事宜及需要方通的对应端口,详细参考设备对接端口矩阵设备对接端口矩阵-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(3)注意接入组件前查看XDR平台组件兼容性手册,确保组件能够正常接入XDR分布式XDR组件接入兼容性列表-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(4)组件接入分布式XDR需要注意网络环境是否存在NAT环境,详细参考【必读】组件对接场景分类-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)

5.2 产品接入(第三方产品接入)
入口:配置管理>>产品接入>>第三方接入(本次测试场景只需要对接青藤万相、和天擎),如下图所示,第三方产品接入详细参考support平台分布式XDR第三方资产/脆弱性组件对接模块材料第三方资产/脆弱性组件对接-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
第三方产品接入注意事项:
(1)需要提前调研清楚客户侧已有第三方组件是否在分布式XDR第三方对接产品兼容性列表中第三方资产/脆弱性组件对接-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(2)XDR是否有开启第三方组件接入授权
(3)第三方组件接入XDR需要注意方通组件与XDR对应端口

5.3第三方设备日志对接
入口:配置管理>>关联分析>>数据接入
日志对接注意事项:
(1)需要明确目前XDR支持对接那些第三方日志,具体对接方法详细参考三方设备日志对接指导-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(2)需要网络当中安全设备放通第三方设备到分布式XDR对应的端口(默认的syslog端口为514)
5.4资产配置
(1)需要提前手机客户网络中的资产信息,针对资产进行盘点按照不同业务、用途进行资产详细分类(目的是为了在护网或XDR测试时当资产出现安全告警或安全事件时带对应资产标签,能够快速联系对应资产负责人进行处置闭环操作)现网资产梳理-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)
(2)除现网资产梳理外还有现网资产指纹清点,可以帮助客户更好的看清楚资产开放的端口、部署的应用、WEB资产、账号信息、运行进程、运行的服务、启动项、计划任务、注册表等信息
(3)资产管理:可灵活设置资产入库、退库及资产管理信息、资产排除等

5.5分布式XDR接入云图
(1)分布式XDR接入客户云图(具体操作,登录客户云图账号:云图链接深信服授权中心 (sangfor.com.cn),完成登录操作后点击“云上设备管理”后点击“接入设备”之后选择分布式XDR以接入码接入方式接入云图)如下图所示:
对应分布式XDR上操作:
1、与客户沟通并获取客户授权,允许XDR连接外网
2、XDR配置:
在配置管理>>系统设置>>DNS设置对应DNS用来解析对应域名
在配置管理>>系统设置>>云端配置输入从云图复制过来的接入码
在配置管理>>系统设置>>云端配置中进行连接测试,如果连接成功则会显示已接入云端,如下图所示:
总结:分布式XDR接入云图,首先需要获取客户授权和同意并打通XDR连接外网的网络,其次登录客户云图(没有云图客户拿客户侧负责人手机进行注册)添加需要接入XDR并获取设备接入码,再次登录XDR平台确认XDR可以连接外网,确认已配置DNS等信息后,通过从云图获取的接入码接入云图

5.6分布式XDR接入云端GPT
(1)检查分布式XDR有接入云端GPT对应的授权且测试授权未过期
(2)确认分布式XDR能够联网上云(需要客户放通XDR上网),具体可以登录XDR后台ping对应公网地址或域名测试XDR是否能够上网,也可通过截图云图方式在XDR控制台进行测试
(3)需要客户授权数据上云(特别是内网数据敏感客户需要重点确认,不然会导致客户满意度问题)
(4)需要确认XDR系统时间与正常时间(云端GPT时间)是否一致,如果XDR系统时间与云端GPT不一致则会导致GPT研判或者检测出现异常
(5)完成前面环境和授权及配置确认后查看新产生的安全事件或安全告警点击GPT研判或分析是否正常
(6)需要注意的是,如果XDR开了GPT授权,但云端GPT未开启或XDR与GPT未对接则会导致脏数据产生,可能会存在其他异常状况,所以在分布式XDR测试云端GPT时,授权需要同时申请,保障分布式XDR配置完成后能及时和云端GPT进行响应的对接

5.7分布式XDR之GPT调优
(1)分布式XDR接入云端GPT进行GPT研判和运营检测后需要针对GPT研判进行一定调优,这样才会使得GPT研判更加精准和有效,通过人工分析后认为GPT研判存在问题的安全事件或安全告警可针对GPT研判结论进行调优,如下图所示(可手动调整GPT研判结论,针对此类告警后续GPT会自动学习,通过不断地优化后续GPT研判结论会越来越贴合客户实际业务场景,不断提高研判准确率):

5.8 SOAR剧本联动WAF及AF针对扫描行为及攻击行为进行联动封锁极大提高客户侧安全告警及安全事件的处置效率
(1)背景:
客户HW或平时安全运营工作被大量的无效扫描和攻击淹没导致安全工作一直陷入被动状态,专业安全服务人员无法集中精力针对有效攻击和安全事件进行进准的研判和防御导致客户运维工作量大、效率低、人力不足等问题
(2)应对手段:
通过分布式XDR的SOAR剧本功能通过云端GPT赋能分析研判+联动组件进行封锁拦截极大释放安全运维人员的很大精力,让安全运维人员精力投入平台推送真实攻击分析、封堵及溯源工作中去,真正实现客户网络安全人机共治
(3)具体配置:
针对大量扫描器扫描等探测攻击通过SOAR剧本联动WAF、AF进行封锁

配置思路:当新的安全事件或安全告警产生时自动执行做好的SOAR剧本,设置执行方式为自动执行、执行条件为安全事件包含扫描器扫描的攻击判断是否为系统内置白名单及客户侧地址或白名单(包括xff地址的白名单判断),判断完成后针对非白名单且存在攻击的IP联动WAF或AF进行联动封锁(为避免封锁部分正常业务访问的IP,建议AF或WAF联动封锁时间自定义为10分钟或者20分钟,这样如果封锁了正常业务IP针对业务影响范围也是最小的)

配置步骤:
APP中心>>预案中心>>我的预案>>新增预案,整体预案如下:
整体SOAR剧本流程:
判断攻击源IP是否在系统内置白名单:
判断攻击XFF地址是否在系统内置白名单:
判断攻击源IP及XFF地址是否为客户业务IP或互联网出口IP(防止误封导致客户业务中断)
通过以上判断,针对存在攻击且非白名单IP联动WAF进行封锁(封锁时长为10分钟,可自定义临时封锁时间):
完成上面一些列操作后在自动调整安全安全事件,且SOAR剧本执行结束

5.9SOAR剧本联动WAF及AF针对漏洞攻击和利用行为进行联动封锁极大提高客户侧安全告警及安全事件的处置效率

1、背景:
客户HW或平时安全运营工作被往往由于精力不够或部分真实攻击如漏洞利用被大量告警淹没导致漏洞利用等发生时不能第一时间进行紧急处理(如封锁攻击源、阻断漏洞利用攻击等手段),导致黑客利用漏洞成功拿下主机权限进一步进行内网横向或其他行为攻击,导致安全运营工作处于被动状态

2、应对手段:
通过分布式XDR的SOAR剧本功能通过云端GPT赋能分析研判+联动组件进行封锁拦截极大释放安全运维人员的很大精力,且能够第一时间针对真实攻击进行自动化处理+半自动化人工处理,真正实现平台和安全运营的工作价值

3、具体配置:
针对大量漏洞利用攻击通过SOAR剧本联动WAF、AF进行封锁
配置思路:当新的安全事件或安全告警产生时自动执行做好的SOAR剧本,设置执行方式为自动执行、执行条件为安全事件或安全告警包含漏洞利用的攻击判断是否为系统内置白名单及客户侧地址或白名单(包括xff地址的白名单判断),判断完成再次通过GPT辅助研判,如GPT研判为真实攻击成功或真实攻击未成功(除误报外)其他研判为攻击的行为的共计IP,分布式XDR则联动WAF或AF进行联动封锁(为避免封锁部分正常业务访问的IP,建议AF或WAF联动封锁时间自定义封锁时长,这样如果封锁了正常业务IP针对业务影响范围也是最小的)

配置步骤:
APP中心>>预案中心>>我的预案>>新增预案,整体预案如下:
判断攻击源IP是否在系统内置白名单:
判断攻击XFF地址是否在系统内置白名单:
判断攻击源IP及XFF地址是否为客户业务IP或互联网出口IP(防止误封导致客户业务中断)
GPT研判,根据GPT研发结论是否为真实攻击,如果是真实攻击则联动AF进行IP封锁且调整安全事件或安全告警为已处置,如果不是则结束
经过以上诸多判断,确认攻击IP存在真实攻击利用行为,联动AF进行封锁

剧本配置踩坑:
第一:针对引入GPT研判结论的剧本,需要注意,GPT研判安全事件或告警一般都需要一定的时间,如果剧本到GPT研判环境由于网络或其他原因导致GPT研判时间较长时,剧本有可能会执行超时发生错误,或者就是跳过GPT研判结论直接结束SOAR剧本流程,会导致剧本执行异常,建议测试过程中升级XDR到35版本以上进行避免

第二:查看预案执行记录时,点击对应执行完成预案的安全事件或安全告警时,跳转到安全告警或安全页面查看时显示暂无数据,在本次测试案例中该原因为登录XDR管理平台的PC系统时间不对导致,询问研发原因为“跳转到告警页面的时候(应该说是所有的时间控件),取的时间都是当前系统上的时间”

(6)打靶展示,还原整体故事链
①需求分析:
1、为什么要打靶?
主要原因:客户护网或测试期间无安全事件产生,如果按照客户现网环境实际测试,可能会因为客户网络环境本身无安全问题导致客户看不到xdr效果,体现不出测试效果

次要原因:通过打靶测试,能够更好更快的体现出XDR的整体效果,让客户真实感受到当安全事件产生时,xdr能够给客户带来什么结果,对比常规的态势感知或其他第三方厂家态势感知,客户侧会有一个明显的感知,能够第一时间在客户侧留下深刻的印象,为顺利完成测试打下坚实基础

2、怎么打靶?
通过本次测试我认为主要有两种方式:第一,通过公司提供的打靶环境bas平台进行自动化打靶测试;第二,部署公司提供的存在漏洞的靶机,邀请安服同事协助手动进行打靶;建议客户侧环境具备的话优先选择第一种打靶方案

3、怎么保障好效果?
第一,打靶环境完全按照公司打靶要求环境进行部署,需提前与售前跟客户沟通好打靶环境和配合人员,提高打靶效率

第二,各组件(WAF、AF、EDR)及XDR本身按照打靶要求进行配置调优

第三,选择合适的打靶样例,能够更好的还原攻击故事线,xdr给客户呈现的效果会更好

第四,打靶完成后汇总打靶结果报告配合售前进行完成的一次打靶汇报,结合打靶过程、形成的效果结果结合客户实际环境给客户汇报,效果更佳

②本次测试打靶实际情况及过程结果分享:
1、打靶环境沟通:
因客户在安全方面比较专业,本次打靶测试配合市场进行前期打靶方案和环境需求吧沟通,客户认为在实际攻防环境下不可能存在像我们打靶环境要求那么高(要隐射靶机业务端口,还要求靶机能够上网,同时还要求不能存在NAT环境),客户认为我们打靶环境过于理想,要求我们攻击机在互联网进行攻击,靶机部署于客户DMZ区域超融合环境,出口AF点对点放通攻击机访问靶机业务端口,在打靶同时还需要验证AF和WAF针对攻击机打靶攻击是否能够准确识别并拦截,如果能够成功识别和拦截攻击机的攻击,则在AF和WAF点对点加白互联网攻击机的公网IP进行打靶测试,在与总部XDR专家及研发沟通完成后,客户要求这种非标准的打靶环境,需要安服协助现场技服进行手动打靶!

2、靶机部署,按照公司提供的靶机直接上传ova镜像,开机后检查各项服务指标是否正常,然后配合客户放通对应的业务端口及DNAT映射,详见打靶指导手册测试策略及测试旅程-可扩展的检测与响应平台XDR(分布式)-深信服技术支持 (sangfor.com.cn)

3、配合安服手动打靶测试

通过利用XRay扫描+Shiro550 CVE-2016-4437漏洞利用(Win)-CobaltStrike http通信-利用paexec进行smb横向(Win)-CobaltStrike http通信-利用paexec进行smb横向的打靶案例,配合安服进行,打靶测试完成后手机攻击机打靶过程截图、收集XDR安全事件及GPT研判结论及,XDR故事链还原等截图输出打靶测试报告到客户侧进行汇报(以为客户也懂安服,在我们整个打靶利用漏洞进行一些列操作后,客户也在本地进行模拟演练验证,结果与xdr识别到的攻击利用和整个故事链还原能力,客户还是很认可的)

4、输出打靶测试报告

需要注意点:

第一:打靶测试报告要保障数据的真实性,且在获取XDR打靶截图等敏感信息时要获得客户授权

第二:打靶测试严格按照打靶整个过程按照每个阶段取得的结果进行截图,如利用漏洞获取主机权限的执行系统命令的截图和xdr上对应识别到该攻击行为的截图等以此类推,要保证每个过程打靶攻击行为和xdr识别到的保持一致,这样输出的报告才会证据链充足、整个打靶测试报告更有说服力和可信度

第三:实际XDR故事链可参考安服打靶过程给客户进行讲解,结合打靶测试保障会让客户更佳真实感受到XDR整体事件聚合能力、故事链还原能力,让客户感觉到整个攻击过程能够被xdr整体记录和还原,更能体现测试效果

5、收尾
打靶结束后提醒客户关闭映射、关闭并删除靶机,以免因疏忽导致存在漏洞的靶机环境因闲置被利用,发生安全事件

(7)总结
测试初期:
本次测试从部署XDR到后期调优再到客户最后认可可以说是坎坷重重,刚开始部署XDR上线客户就想从护网实战中检验XDR整体能力,但是一开始测试效果由于XDR自身问题再加上客户不同意测试MSS和GPT导致一开始客户觉得XDR占用资源大且能力较为一般,测试陷入被动

测试中期:
在与市场不断配合下,不断与客户反复沟通,最后获得客户许可允许XDR+GPT测试,来看一下在安全GPT加持下XDR整体检测能力如何,好在XDR+GPT测试效果下客户看到了一定的效果,好多安全事件和安全告警经过客户环境实际验证经住了考验,客户逐渐开始认可XDR整体能力

测试成功转变点:
第一:在与市场同事不懈努力和坚持下,通过前期XDR+GPT获得客户初步认可,在与客户交流沟通中导入XDR+GPT+SOAR剧本能力补齐客户因精力不足或晚上无人值守情况下针对诸多安全事件或安全攻击无法知晓和快速处理的能力,通过两个SOAR剧本(针对扫描联动安全设备进行联动封锁的扫描自动封锁剧本、针对漏洞利用结合GPT研判的漏洞利用自动封锁剧本)让客户真正看到了从xdr告警消减到安全事件聚合再到GPT辅助研判打标和调优,基本能够将所有真实有效攻击第一时间平台联动组件进行封堵,大量释放客户侧很大一部分精力,让客户安服和技术人员在XDR+GPT赋能下能够进入到有效攻击事件的研判分析中去,真正实现客户想要的和迫切需求的

第二:通过云图等方式,将XDR中重点告警和安全事件推送到客户云图公众号,客户可以随时随地看到网络中的安全态势情况,再结合上述测试中让测试效果更佳凸显

测试后期:
由于客户本次测试中并无发生安全事件和有效攻击,所以与客户沟通,通过打靶方式让客户感受一次在模拟真实攻击下XDR+GPT+SOAR+云图告警所展示的整体能力,通过打靶测试的效果演示、结果汇报和XDR的打靶结果材料输出,在完成客户本年度的安全应急演练同时也秀了一下XDR+GPT肌肉,让客户通过以上种种XDR所带来的能力所信服,最后客户认可满意XDR本次测试效果,完美完成本次XDR+GPT的测试!

最后,分布式XDR+GPT整体测试虽然存在波折和坎坷,但是一路走来,通过铁三角团队的不断配合真实在客户侧打出效果,从一开始的产品功能匹配客户需求,到主动思考客户要的究竟是什么?再回到客户底层核心需求和逻辑,通过结合客户需求回到帮助客户解决问题让产品功能能够灵活满足客户需求同时,通过方案导入、价值兑现和思考在解决问题同时带给客户的是通过平台不断提高客户生产效率、工作效率和便捷性,带来的结果就是客户的对产品的认可和对服务团队的认可,最后帮助客户真正实现让每个用户的数字化更简单、更安全!

打赏鼓励作者,期待更多好文!

打赏
28人已打赏

原鹏程 发表于 2024-10-18 16:51
  
感谢楼主分享,努力学习中!!!!
暗夜星空 发表于 2024-10-18 20:36
  
图文很详细
zjwshenxian 发表于 2024-10-18 22:51
  
感谢楼主分享,努力学习中!!!!
嘀嘀柠柠 发表于 2024-10-19 05:48
  
感谢分享,非标不错的图文分享贴。
王蒙召 发表于 2024-10-19 08:41
  
感谢楼主分享,努力学习中!!!!
科思哲 发表于 2024-10-19 09:23
  
感谢楼主分享,努力学习中!!!!
一个无趣的人 发表于 2024-10-19 23:44
  
这个帖子分享的知识很棒,学习了!
guafeng00 发表于 2024-10-21 08:18
  
感谢楼主分享这些实用的内容
飞翔的苹果 发表于 2024-10-21 08:26
  
感谢分享,很详细啊,学习学习
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
干货满满
西北区每日一问
安全效果
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
高手请过招
信服课堂视频
GIF动图学习
产品连连看
秒懂零信任
技术晨报
自助服务平台操作指引
每周精选
社区新周刊
技术圆桌
安装部署配置
每日一记
玩转零信任
纪元平台
场景专题
升级&主动服务
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人