分布式XDR联动华为防火墙
  

新手823623 2454316人觉得有帮助

{{ttag.title}}
本帖最后由 行则将至08 于 2023-9-5 16:51 编辑

                                    分布式XDR联动华为防火墙
一、概述:
根据客户在安全运营阶段遇到的安全问题,深信服提供分布式XDR平台,通过结合第三方安全防护能力,帮助用户精准发现安全问题,并闭环问题。
二、测试目的:
本测试主要目的是验证以分布式XDR为平台,配合深信服STA、第三方网络安全设备&终端安全组件构建的安全效果运营的能力基线测试。
三、需求背景:
   客户侧已有第三方安全设备(华为&亚信),我司导入XDR做技术认可时,客户重点关注XDR与第三方安全设备联动功能。
四、测试拓扑:
          2983364b6079c931a5.png
五、环境与版本
1.   分布式XDR平台虚拟化部署在VMware6.7版本平台上,注意总部给的包是支持7.0以上的包,vmx17是7.0版本的虚拟机,上传6.7版本报错,需要将OVF文件中的VMX-17字段替换成其他支持的VMX版本,比如vmx-15。
9374264b607fff0d04.png
2.   XDR版本:XDR2.0.12.0 Build20230421;授权开通情况:开通第三方日志分析模块和SOAR应用授权。
9197664b60827cc184.png
4237364b6083646869.png
3. 华为防火墙版本:USG6680E V600R007C20SPC200 (VRP (R) software, Version 5.170),对接日志无需单独开通授权。
六、第三方数据源对接
1. 华为防火墙配置:系统-日志配置-新增日志主机-syslog方式。
2057264b60863b21a8.png
2. 分布式XDR配置:配置管理-关联分析-新增数据源;
     第三方数据源日志数据接入XDR平台允许使用Syslog、Kafka、SNMP Trap、FTP、SFTP等几种方式,其中Syslog接入方式为XDR被动接收其他数据源传过来的日志数据,Kafka接入方式为XDR主动消费其他数据源提供的Topic数据。如果使用Syslog接入,使用的协议跟端口为:TCP/UDP 514端口;使用Kafka接入协议跟端口具体看Topic配置。
8716564b6086f7c849.png
9159864b6087a9f612.png
选定接入方式之后配合XDR平台内置的解析规则以及编码方式,使其他数据源的原始日志数据在XDR平台上面可以正确解析展示。
6323764b60882e9efd.png
最后通过XDR平台对其他数据源的原始日志数据进行富化,添加上归属地、网络位置、资产等字段后可以在日志检索中第三方日志中检索到。
9270864b6088e2445d.png
完成第三方数据源数据接入之后,可查看连通状态、今日采集日志数、今日解析日志数等数据。允许管理员通过原始日志数据自定义数据分析规则,生成自定义告警。
9627064b6089724118.png
至此,日志对接完成,可在日志检索模块查看对应的日志详情:
5932264b6089e16a66.png

七、第三方接入
1. 华为防火墙配置:系统-管理员-API权限用户
7987864b608ad584da.png
2. XDR配置:配置管理-产品接入-第三方接入-新增
5595364b608bae5f54.png
3580964b608c502e53.png
3. 此时在APP中心-深信服SOAR-应用管理中可以看到对应的设备,测试连通性。
5329164b608ceddbcd.png

八、联动响应处置
1. 安全事件处置-SOAR剧本-执行动作
7915464b608dd153f6.png
9816064b608e4c7edd.png
4227764b608ef7c36d.png

2. 执行效果查看和执行历史日志记录:深信服SOAR-剧本管理-执行历史
华为防火墙即会生成一条对应的安全策略:
1806764b608f9e36dc.png
同时对于执行的动作可以进行查看和撤销:
8019564b60903487e8.png
2133964b6090c30155.png
撤销后华为防火墙对应的策略也会自动删除:
2850364b60915ad8a3.png

九、注意事项
   此版本的XDR平台存在,授权即将过期会识别为授权已过期,会导致SOAR模块的应用无法正常查看,第三方接入只显示部分设备。后续版本会优化解决。
527964b609221ea05.png
5886264b6092a94648.png
现象:
【产品接入】【第三方接入】页面只有部分设备
【问题】
第三方接入页面只有部分设备,无“华为防火墙”等其他类似设备
【原因】
530还是430之前的版本,产品接入的device服务,会将即将过期看成过期,因此就不展示其余第三方应用
【解决方法】:
1、重新授权,让授权状态不是“即将过期”状态
2、升级到解决“即将过期“问题的版本。
7796764b60810ede88.png

打赏鼓励作者,期待更多好文!

打赏
69人已打赏

sangfor_13053 发表于 2023-7-18 11:42
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
糖果星球 发表于 2023-7-18 13:33
  
每天学习一点点,每天进步一点点
宇将军挑虾线 发表于 2023-7-18 13:43
  

楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
新手610677 发表于 2023-7-18 13:53
  

每天学习一点点,每天进步一点点
刘江 发表于 2023-7-18 14:15
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
韩_鹏 发表于 2023-7-18 14:37
  
感谢分享                                                   
易逝的信仰 发表于 2023-7-18 14:49
  
会将即将过期看成过期,因此就不展示其余第三方应用
伊利丹·怒风 发表于 2023-7-18 14:59
  
Kafka接入方式为XDR主动消费其他数据源提供的Topic数据。
韩立春 发表于 2023-7-18 15:16
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
发表新帖
作者其他文章
热门标签
全部标签>
每日一问
2024年技术争霸赛
技术笔记
技术盲盒
干货满满
产品连连看
信服课堂视频
功能体验
2023技术争霸赛专题
新版本体验
技术晨报
每周精选
安装部署配置
秒懂零信任
GIF动图学习
安全攻防
信服圈儿
纪元平台
通用技术
自助服务平台操作指引
问题分析处理
运维工具
标准化排查
华北区交付直播
技术咨询
答题自测
在线直播
原创分享
深信服技术支持平台
社区帮助指南
以战代练
北京区每日一练
畅聊IT
专家问答
技术圆桌
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
流量管理
每日一记
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

37
8
0

发帖

粉丝

关注

本版达人