新手210358 发表于 2024-11-27 14:47
  
震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
科思哲 发表于 2024-12-2 08:28
  

逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
【XDR+GPT】POC最佳实践案例分享--XXX保险项目
  

XDR交付 1885

{{ttag.title}}
本帖最后由 XDR交付 于 2024-11-18 16:16 编辑

SUPPORT链接:https://support.sangfor.com.cn/productDocument/read?product_id=141&version_id=1092&category_id=306356,跳转到support链接获取更多最佳实践。
前言
1)  我们如何将测试价值,转化为客户的认可?
2)  攻防演练中,哪些关键工作是我们不可忽视的?
3)  客户需求如何精准捕捉,并转化为测试目标和策略?


摘要

XDR平台+GPT大模型+组件构成的安全运营方案中,SOC运营替换场景是KA客户难度较大的一种场景。需要了解清楚客户的需求和痛点,拉近客户举例;并进行合理的需求引导,制定测试目录和测试策略。完成关键动作项,为展现价值亮点做好基础工作;并进行阶段性的汇报,让高层有感知。最后完成总结汇报,强化前期对⻬的预期及⽬标,凸显产品价值。

因此,本文提供了2个最佳实践案例,如XXX航空制造项目和XXX保险项目,展示了XDR+GPT在SOC替换场景中的POC最佳实践,实现了告警降噪、关键事件检出、告警运营效率大幅提升等显著成效,获得客户高度认可。这些实践为其他类似项目提供了重要参考和借鉴。


1. XXX保险项目POC最佳实践
1.1. 测试总结
1.1.1. 攻防演习成果
7月21日-8月30日连续高强度作战40天,胜利完成“攻防演习2024”安全保障,xxx保险内网整体未被攻破,标靶系统未失守,核心业务系统0失分!
  1)  检出高价值事件26个(包含信息泄露*3、代码注入*4、远程代码执行*5、Webshell上传*5、任意文件上传*2 等类型)
  2)  提交成果报告1个
  3)  提交1份经典技战法总结
  4)  现场协助溯源1起

1.1.2. XDR+GPT效果总结
  1)  告警降噪效果:单日XDR平台共计接收各网端日志4000w+条,通过对多来源事件的消减融合共计生成安全告警6.1w条,GPT降噪后单日仅个位数条需分析与关注的事件),整体降噪率超过99%
  2)  关键事件检出情况:7.22至8.31XDR+GPT检出的事件总量3225,经GPT分析研判,其中内网事件的准确率为93.1%,互联网事件的准确率为94.8%,XDR+GPT双引擎,全量告警自动研判,无效告警研判准确率接近100%,另有26起事件我司独报
  3)  告警运营效率提升情况:驻场安服正常情况下完成250+告警研判/天。GPT支持数据包研判的功能,每2-15s能够解读研判一个高混淆数据包。在智能运营GPT的帮助下,一个驻场安服在12小时工作时常下,至少能完成2880条告警研判/天,效率提升近10倍以上。

1.1.3. 客户认可价值

1.2. 项目背景

客户环境现有SAT,aES,天眼,天擎,青藤hids,瀚思siem平台。前些年买了很多安服做服务值守,水平一般,安全能力也没起来,今年停止采购这些服务,需自行分析,各个安全平台每天产生大量告警,同时安全部门今年减少了大量的初级工程师,今年 HW值守人力严重不足,大量告警无法及时处理,且领导又要求 HW成绩不能落下。

客户领导认为往年 HW 都是堆厂商人力,公司自身的安全建设体系没有提升,HW结束又变回原样。客户希望今年一个安服+GPT 能达到往年多人值守的 hw 成绩。



1.3. 环境调研与需求分析
1.3.1. 客户环境及部署情况
  1)  分布式XDR:11节点分布式XDR,标准硬件部署,已上云,已升级到2.0.31版本
  2)  GPT大模型:1台本地运营大模型+1台本地检测大模型,已接入XDR
  3)  组件:
      a)  自有组件:STA 、3500点EDR
      b)  三方组件:奇安信天眼、微步TDP、2万点青藤HIDS

1.3.2. 需求分析

高层:

1)  提升集团安全能力,通过创新技术来提升集团安全体系能力;不再“白花钱”
2)  设备分散,安全运营效率不高,剧本联动自动化封禁提升安全效果
3)  少量人员+平台的方式来解决以前需要很多人才能实现的效果

中层:

1)  机房在武汉,可以从上海远程到武汉,上海、武汉是客户两个机房,上海没有我们的设备(天眼、天擎),希望对比武汉和上海的效果
2)  针对武汉的流量,发现天眼发现不了的问题(天眼在上海、武汉都有探针)
3)  体现运营效率,让1、2个安服人员+GPT能运营起海量告警,效果等于或好于之前很多安服,并能赋能给其他设备

1.4. 定测试目标
  1)  较少的人力结合XDR+GPT能达到往年多人值守的HW成绩
  2)  XDR+GPT与传统平台能力对比,以2人+XDR/GPT平台处理告警能力(数量)对比7人+传统平台处理能力(数量)为例,XDR+GPT能力需强于传统平台

1.5. 定测试策略(预期价值点呈现)
  1)  高级威胁检出:在原始事件标准化阶段,提升热点与复杂攻击的威胁检出,提升高对抗、高混淆、高变换等攻击的对抗能力,将风险前置消除。
  2)  智能融合降噪:在标准化事件降噪阶段,对多源数据进行开箱即用的融合降噪,消减大量无效冗余信息,同时利用人工介入,对错误告警进行标注,以便检测GPT能够通过增强学习技术进行持续微调,让安全GPT更懂用户的环境。
  3)  全量告警研判:在事件预处理及研判阶段,全量告警自动研判分析并将告警智能分层,同时作为安全人员的辅助工具,提供专业解读及实体调查,提高工作效率。

1.6. 测试过程
1.6.1. 关键KCP节点执行情况

1.6.2. 坑点总结
  1)  流量探针、EDR每日更新规则库和特征库,定期进行系统补丁升级动作。
  2)  【平台巡检】防演练前做一遍checklist排查,演练期间也需要每天检查一遍平台性能、告警日志时延的情况,有问题第一时间反馈研发负责人跟进排查处理

1.7. 价值表达与汇报
1.7.1. 多源数据融合,海量告警降噪

xxx月xx日,安全运营平台共计产生安全日志11.3亿条,其中青藤一级日志11.3亿条,qax一级日志96.9w条,消减融合后,生成安全告警69355条,其中青藤告警30646条,天眼告警27937条,NDR告警10421条,EDR告警807条。降噪后需分析事件96条,其中整体降噪率99%。


1.7.2. 网端关联关联还原攻击全貌,减轻人工溯源难度

XDR通过端侧(E)的行为和网络(N)侧的攻击数据相结合,直接给出定性和还原故事线,发现了一系列终端的具体操作,可以判定主机已经失陷。通过E+N关联分析让定性更准确,更简单。


1.7.3. AI全量告警研判,GPT赋能深信服/三方告警,纠正误报
1)  海量告警中大量的互联网扫描等类型攻击属于低价值告警,而少量的真实攻击淹没在大量低价值告警中难以被用户快速发现。
2)  利用GPT实现全量告警研判分析并实现智能分类,减少人力投入,优先关注疑似攻击或真实攻击未成功告警,及时发现潜在风险。GPT针对告警做完分类之后,我们统计了GPT对各类告警分析研判的准确率,准确率平均98.48%。

3)  利用GPT实现全量告警研判,对三方设备上报的误报告警进行纠正。
a)  奇安信天眼、微步TDP人员在HVV值守期间,上报冰蝎告警,经过GPT研判结论为误报,GPT能够有效纠正三方误报告警,比一般分析人员更精准。

b)  GPT对于来自天眼的冰蝎连接告警,进一步定性为误报。GPT通过综合分析,从请求目的、请求内容、响应码和响应内容、历史基线等多个角度来看,这段网络流量不属于恶意的网络流量攻击。

1.7.4. XDR+GPT告警独报
1)  高价值事件-Weblogic漏洞攻击事件
a)  8月27日晚8月28日凌晨发生的Weblogic漏洞攻击事件,我方快速做了应急溯源,在1小时内完成了所有攻击过程的溯源。
b)  XDR通过采集深信服/三方N侧及E侧的数据,包括青藤、天眼、EDR的数据进行网端关联,将整个攻击过程进行还原,便于我方防守人员在1个小时内快速完成溯源,经整理后攻击记录如下。


2)  高价值事件-xxtaiping.com未授权访问漏洞
a)  存在未授权访问漏洞,GPT给出攻击目的分析和响应包分析结论,降低搞价值事件分析门槛。该漏洞可以通过构造reportNo,泄露事故原因、事故地点、车牌号等信息。

1.8. 建设规划
围绕服务、技术、流程、指标等多个维度,为客户提供长期安全运营能力演进规划。




打赏鼓励作者,期待更多好文!

打赏
38人已打赏

发表新帖
热门标签
全部标签>
安全效果
【 社区to talk】
高手请过招
西北区每日一问
每日一问
新版本体验
社区新周刊
纪元平台
标准化排查
功能体验
干货满满
技术咨询
技术盲盒
产品连连看
GIF动图学习
安装部署配置
存储
每周精选
答题自测
技术笔记
VPN 对接
秒懂零信任
技术晨报
自助服务平台操作指引
POC测试案例
全能先锋系列
信服课堂视频
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
云化安全能力

本版达人