授权踩坑:授权导入后XDR平台缺少大部分功能(故障原因:授权必须登录集群控制台导入才可,非集群节点导入会存在异常)
4.5部署完成后,如果不是目前最新优先推荐测试版本则建议升级推荐版本(升级目前会有总部保障,本次测试升级为20版本升级31然后再从31版本升级最新35版本,升级版本需要花费较多时间,需要提前与客户沟通)
4.6XDR部署及升级总结:详细参看support平台关于分布式XDR部署前后的详细文档,提前准备对应资源,避免到时手忙脚乱
5.配置联调
5.1产品接入(深信服自有产品接入)
第三方产品接入注意事项:
(2)XDR是否有开启第三方组件接入授权
(3)第三方组件接入XDR需要注意方通组件与XDR对应端口
5.3第三方设备日志对接
入口:配置管理>>关联分析>>数据接入
日志对接注意事项:
(2)需要网络当中安全设备放通第三方设备到分布式XDR对应的端口(默认的syslog端口为514)
5.4资产配置
(2)除现网资产梳理外还有现网资产指纹清点,可以帮助客户更好的看清楚资产开放的端口、部署的应用、WEB资产、账号信息、运行进程、运行的服务、启动项、计划任务、注册表等信息
(3)资产管理:可灵活设置资产入库、退库及资产管理信息、资产排除等
5.5分布式XDR接入云图
在配置管理>>系统设置>>DNS设置对应DNS用来解析对应域名
在配置管理>>系统设置>>云端配置输入从云图复制过来的接入码
在配置管理>>系统设置>>云端配置中进行连接测试,如果连接成功则会显示已接入云端,如下图所示:
总结:分布式XDR接入云图,首先需要获取客户授权和同意并打通XDR连接外网的网络,其次登录客户云图(没有云图客户拿客户侧负责人手机进行注册)添加需要接入XDR并获取设备接入码,再次登录XDR平台确认XDR可以连接外网,确认已配置DNS等信息后,通过从云图获取的接入码接入云图
5.6分布式XDR接入云端GPT
(1)检查分布式XDR有接入云端GPT对应的授权且测试授权未过期
(2)确认分布式XDR能够联网上云(需要客户放通XDR上网),具体可以登录XDR后台ping对应公网地址或域名测试XDR是否能够上网,也可通过截图云图方式在XDR控制台进行测试
(3)需要客户授权数据上云(特别是内网数据敏感客户需要重点确认,不然会导致客户满意度问题)
(4)需要确认XDR系统时间与正常时间(云端GPT时间)是否一致,如果XDR系统时间与云端GPT不一致则会导致GPT研判或者检测出现异常
(5)完成前面环境和授权及配置确认后查看新产生的安全事件或安全告警点击GPT研判或分析是否正常
(6)需要注意的是,如果XDR开了GPT授权,但云端GPT未开启或XDR与GPT未对接则会导致脏数据产生,可能会存在其他异常状况,所以在分布式XDR测试云端GPT时,授权需要同时申请,保障分布式XDR配置完成后能及时和云端GPT进行响应的对接
5.7分布式XDR之GPT调优
(1)分布式XDR接入云端GPT进行GPT研判和运营检测后需要针对GPT研判进行一定调优,这样才会使得GPT研判更加精准和有效,通过人工分析后认为GPT研判存在问题的安全事件或安全告警可针对GPT研判结论进行调优,如下图所示(可手动调整GPT研判结论,针对此类告警后续GPT会自动学习,通过不断地优化后续GPT研判结论会越来越贴合客户实际业务场景,不断提高研判准确率):
5.8 SOAR剧本联动WAF及AF针对扫描行为及攻击行为进行联动封锁极大提高客户侧安全告警及安全事件的处置效率
客户HW或平时安全运营工作被大量的无效扫描和攻击淹没导致安全工作一直陷入被动状态,专业安全服务人员无法集中精力针对有效攻击和安全事件进行进准的研判和防御导致客户运维工作量大、效率低、人力不足等问题
通过分布式XDR的SOAR剧本功能通过云端GPT赋能分析研判+联动组件进行封锁拦截极大释放安全运维人员的很大精力,让安全运维人员精力投入平台推送真实攻击分析、封堵及溯源工作中去,真正实现客户网络安全人机共治
(3)具体配置:
针对大量扫描器扫描等探测攻击通过SOAR剧本联动WAF、AF进行封锁
配置思路:当新的安全事件或安全告警产生时自动执行做好的SOAR剧本,设置执行方式为自动执行、执行条件为安全事件包含扫描器扫描的攻击判断是否为系统内置白名单及客户侧地址或白名单(包括xff地址的白名单判断),判断完成后针对非白名单且存在攻击的IP联动WAF或AF进行联动封锁(为避免封锁部分正常业务访问的IP,建议AF或WAF联动封锁时间自定义为10分钟或者20分钟,这样如果封锁了正常业务IP针对业务影响范围也是最小的)
配置步骤:
APP中心>>预案中心>>我的预案>>新增预案,整体预案如下:
整体SOAR剧本流程:
判断攻击源IP是否在系统内置白名单:
判断攻击XFF地址是否在系统内置白名单:
判断攻击源IP及XFF地址是否为客户业务IP或互联网出口IP(防止误封导致客户业务中断)
通过以上判断,针对存在攻击且非白名单IP联动WAF进行封锁(封锁时长为10分钟,可自定义临时封锁时间):
完成上面一些列操作后在自动调整安全安全事件,且SOAR剧本执行结束
5.9SOAR剧本联动WAF及AF针对漏洞攻击和利用行为进行联动封锁极大提高客户侧安全告警及安全事件的处置效率
客户HW或平时安全运营工作被往往由于精力不够或部分真实攻击如漏洞利用被大量告警淹没导致漏洞利用等发生时不能第一时间进行紧急处理(如封锁攻击源、阻断漏洞利用攻击等手段),导致黑客利用漏洞成功拿下主机权限进一步进行内网横向或其他行为攻击,导致安全运营工作处于被动状态
通过分布式XDR的SOAR剧本功能通过云端GPT赋能分析研判+联动组件进行封锁拦截极大释放安全运维人员的很大精力,且能够第一时间针对真实攻击进行自动化处理+半自动化人工处理,真正实现平台和安全运营的工作价值
3、具体配置:
针对大量漏洞利用攻击通过SOAR剧本联动WAF、AF进行封锁
配置思路:当新的安全事件或安全告警产生时自动执行做好的SOAR剧本,设置执行方式为自动执行、执行条件为安全事件或安全告警包含漏洞利用的攻击判断是否为系统内置白名单及客户侧地址或白名单(包括xff地址的白名单判断),判断完成再次通过GPT辅助研判,如GPT研判为真实攻击成功或真实攻击未成功(除误报外)其他研判为攻击的行为的共计IP,分布式XDR则联动WAF或AF进行联动封锁(为避免封锁部分正常业务访问的IP,建议AF或WAF联动封锁时间自定义封锁时长,这样如果封锁了正常业务IP针对业务影响范围也是最小的)
配置步骤:
APP中心>>预案中心>>我的预案>>新增预案,整体预案如下:
判断攻击源IP及XFF地址是否为客户业务IP或互联网出口IP(防止误封导致客户业务中断)
GPT研判,根据GPT研发结论是否为真实攻击,如果是真实攻击则联动AF进行IP封锁且调整安全事件或安全告警为已处置,如果不是则结束
经过以上诸多判断,确认攻击IP存在真实攻击利用行为,联动AF进行封锁
第一:针对引入GPT研判结论的剧本,需要注意,GPT研判安全事件或告警一般都需要一定的时间,如果剧本到GPT研判环境由于网络或其他原因导致GPT研判时间较长时,剧本有可能会执行超时发生错误,或者就是跳过GPT研判结论直接结束SOAR剧本流程,会导致剧本执行异常,建议测试过程中升级XDR到35版本以上进行避免
第二:查看预案执行记录时,点击对应执行完成预案的安全事件或安全告警时,跳转到安全告警或安全页面查看时显示暂无数据,在本次测试案例中该原因为登录XDR管理平台的PC系统时间不对导致,询问研发原因为“跳转到告警页面的时候(应该说是所有的时间控件),取的时间都是当前系统上的时间”
①需求分析:
1、为什么要打靶?
主要原因:客户护网或测试期间无安全事件产生,如果按照客户现网环境实际测试,可能会因为客户网络环境本身无安全问题导致客户看不到xdr效果,体现不出测试效果
次要原因:通过打靶测试,能够更好更快的体现出XDR的整体效果,让客户真实感受到当安全事件产生时,xdr能够给客户带来什么结果,对比常规的态势感知或其他第三方厂家态势感知,客户侧会有一个明显的感知,能够第一时间在客户侧留下深刻的印象,为顺利完成测试打下坚实基础
2、怎么打靶?
通过本次测试我认为主要有两种方式:第一,通过公司提供的打靶环境bas平台进行自动化打靶测试;第二,部署公司提供的存在漏洞的靶机,邀请安服同事协助手动进行打靶;建议客户侧环境具备的话优先选择第一种打靶方案
3、怎么保障好效果?
第一,打靶环境完全按照公司打靶要求环境进行部署,需提前与售前跟客户沟通好打靶环境和配合人员,提高打靶效率
第二,各组件(WAF、AF、EDR)及XDR本身按照打靶要求进行配置调优
第三,选择合适的打靶样例,能够更好的还原攻击故事线,xdr给客户呈现的效果会更好
第四,打靶完成后汇总打靶结果报告配合售前进行完成的一次打靶汇报,结合打靶过程、形成的效果结果结合客户实际环境给客户汇报,效果更佳
②本次测试打靶实际情况及过程结果分享:
1、打靶环境沟通:
因客户在安全方面比较专业,本次打靶测试配合市场进行前期打靶方案和环境需求吧沟通,客户认为在实际攻防环境下不可能存在像我们打靶环境要求那么高(要隐射靶机业务端口,还要求靶机能够上网,同时还要求不能存在NAT环境),客户认为我们打靶环境过于理想,要求我们攻击机在互联网进行攻击,靶机部署于客户DMZ区域超融合环境,出口AF点对点放通攻击机访问靶机业务端口,在打靶同时还需要验证AF和WAF针对攻击机打靶攻击是否能够准确识别并拦截,如果能够成功识别和拦截攻击机的攻击,则在AF和WAF点对点加白互联网攻击机的公网IP进行打靶测试,在与总部XDR专家及研发沟通完成后,客户要求这种非标准的打靶环境,需要安服协助现场技服进行手动打靶!
3、配合安服手动打靶测试
通过利用XRay扫描+Shiro550 CVE-2016-4437漏洞利用(Win)-CobaltStrike http通信-利用paexec进行smb横向(Win)-CobaltStrike http通信-利用paexec进行smb横向的打靶案例,配合安服进行,打靶测试完成后手机攻击机打靶过程截图、收集XDR安全事件及GPT研判结论及,XDR故事链还原等截图输出打靶测试报告到客户侧进行汇报(以为客户也懂安服,在我们整个打靶利用漏洞进行一些列操作后,客户也在本地进行模拟演练验证,结果与xdr识别到的攻击利用和整个故事链还原能力,客户还是很认可的)
4、输出打靶测试报告
需要注意点:
第一:打靶测试报告要保障数据的真实性,且在获取XDR打靶截图等敏感信息时要获得客户授权
第二:打靶测试严格按照打靶整个过程按照每个阶段取得的结果进行截图,如利用漏洞获取主机权限的执行系统命令的截图和xdr上对应识别到该攻击行为的截图等以此类推,要保证每个过程打靶攻击行为和xdr识别到的保持一致,这样输出的报告才会证据链充足、整个打靶测试报告更有说服力和可信度
第三:实际XDR故事链可参考安服打靶过程给客户进行讲解,结合打靶测试保障会让客户更佳真实感受到XDR整体事件聚合能力、故事链还原能力,让客户感觉到整个攻击过程能够被xdr整体记录和还原,更能体现测试效果
5、收尾
打靶结束后提醒客户关闭映射、关闭并删除靶机,以免因疏忽导致存在漏洞的靶机环境因闲置被利用,发生安全事件
(7)总结
测试初期:
本次测试从部署XDR到后期调优再到客户最后认可可以说是坎坷重重,刚开始部署XDR上线客户就想从护网实战中检验XDR整体能力,但是一开始测试效果由于XDR自身问题再加上客户不同意测试MSS和GPT导致一开始客户觉得XDR占用资源大且能力较为一般,测试陷入被动
测试中期:
在与市场不断配合下,不断与客户反复沟通,最后获得客户许可允许XDR+GPT测试,来看一下在安全GPT加持下XDR整体检测能力如何,好在XDR+GPT测试效果下客户看到了一定的效果,好多安全事件和安全告警经过客户环境实际验证经住了考验,客户逐渐开始认可XDR整体能力
测试成功转变点:
第一:在与市场同事不懈努力和坚持下,通过前期XDR+GPT获得客户初步认可,在与客户交流沟通中导入XDR+GPT+SOAR剧本能力补齐客户因精力不足或晚上无人值守情况下针对诸多安全事件或安全攻击无法知晓和快速处理的能力,通过两个SOAR剧本(针对扫描联动安全设备进行联动封锁的扫描自动封锁剧本、针对漏洞利用结合GPT研判的漏洞利用自动封锁剧本)让客户真正看到了从xdr告警消减到安全事件聚合再到GPT辅助研判打标和调优,基本能够将所有真实有效攻击第一时间平台联动组件进行封堵,大量释放客户侧很大一部分精力,让客户安服和技术人员在XDR+GPT赋能下能够进入到有效攻击事件的研判分析中去,真正实现客户想要的和迫切需求的
第二:通过云图等方式,将XDR中重点告警和安全事件推送到客户云图公众号,客户可以随时随地看到网络中的安全态势情况,再结合上述测试中让测试效果更佳凸显
测试后期:
由于客户本次测试中并无发生安全事件和有效攻击,所以与客户沟通,通过打靶方式让客户感受一次在模拟真实攻击下XDR+GPT+SOAR+云图告警所展示的整体能力,通过打靶测试的效果演示、结果汇报和XDR的打靶结果材料输出,在完成客户本年度的安全应急演练同时也秀了一下XDR+GPT肌肉,让客户通过以上种种XDR所带来的能力所信服,最后客户认可满意XDR本次测试效果,完美完成本次XDR+GPT的测试!
最后,分布式XDR+GPT整体测试虽然存在波折和坎坷,但是一路走来,通过铁三角团队的不断配合真实在客户侧打出效果,从一开始的产品功能匹配客户需求,到主动思考客户要的究竟是什么?再回到客户底层核心需求和逻辑,通过结合客户需求回到帮助客户解决问题让产品功能能够灵活满足客户需求同时,通过方案导入、价值兑现和思考在解决问题同时带给客户的是通过平台不断提高客户生产效率、工作效率和便捷性,带来的结果就是客户的对产品的认可和对服务团队的认可,最后帮助客户真正实现让每个用户的数字化更简单、更安全!
发表于 2024-10-26 14:49
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级