本帖最后由 行则将至08 于 2023-9-5 16:51 编辑
分布式XDR联动华为防火墙
一、概述:
根据客户在安全运营阶段遇到的安全问题,深信服提供分布式XDR平台,通过结合第三方安全防护能力,帮助用户精准发现安全问题,并闭环问题。
二、测试目的:
本测试主要目的是验证以分布式XDR为平台,配合深信服STA、第三方网络安全设备&终端安全组件构建的安全效果运营的能力基线测试。
三、需求背景:
客户侧已有第三方安全设备(华为&亚信),我司导入XDR做技术认可时,客户重点关注XDR与第三方安全设备联动功能。
四、测试拓扑:
五、环境与版本
1. 分布式XDR平台虚拟化部署在VMware6.7版本平台上,注意总部给的包是支持7.0以上的包,vmx17是7.0版本的虚拟机,上传6.7版本报错,需要将OVF文件中的VMX-17字段替换成其他支持的VMX版本,比如vmx-15。
2. XDR版本:XDR2.0.12.0 Build20230421;授权开通情况:开通第三方日志分析模块和SOAR应用授权。
3. 华为防火墙版本:USG6680E V600R007C20SPC200 (VRP (R) software, Version 5.170),对接日志无需单独开通授权。
六、第三方数据源对接
1. 华为防火墙配置:系统-日志配置-新增日志主机-syslog方式。
2. 分布式XDR配置:配置管理-关联分析-新增数据源;
第三方数据源日志数据接入XDR平台允许使用Syslog、Kafka、SNMP Trap、FTP、SFTP等几种方式,其中Syslog接入方式为XDR被动接收其他数据源传过来的日志数据,Kafka接入方式为XDR主动消费其他数据源提供的Topic数据。如果使用Syslog接入,使用的协议跟端口为:TCP/UDP 514端口;使用Kafka接入协议跟端口具体看Topic配置。
选定接入方式之后配合XDR平台内置的解析规则以及编码方式,使其他数据源的原始日志数据在XDR平台上面可以正确解析展示。
最后通过XDR平台对其他数据源的原始日志数据进行富化,添加上归属地、网络位置、资产等字段后可以在日志检索中第三方日志中检索到。
完成第三方数据源数据接入之后,可查看连通状态、今日采集日志数、今日解析日志数等数据。允许管理员通过原始日志数据自定义数据分析规则,生成自定义告警。
至此,日志对接完成,可在日志检索模块查看对应的日志详情:
七、第三方接入
1. 华为防火墙配置:系统-管理员-API权限用户
2. XDR配置:配置管理-产品接入-第三方接入-新增
3. 此时在APP中心-深信服SOAR-应用管理中可以看到对应的设备,测试连通性。
八、联动响应处置
1. 安全事件处置-SOAR剧本-执行动作
2. 执行效果查看和执行历史日志记录:深信服SOAR-剧本管理-执行历史
华为防火墙即会生成一条对应的安全策略:
同时对于执行的动作可以进行查看和撤销:
撤销后华为防火墙对应的策略也会自动删除:
九、注意事项
此版本的XDR平台存在,授权即将过期会识别为授权已过期,会导致SOAR模块的应用无法正常查看,第三方接入只显示部分设备。后续版本会优化解决。
现象:
【产品接入】【第三方接入】页面只有部分设备
【问题】
第三方接入页面只有部分设备,无“华为防火墙”等其他类似设备
【原因】
530还是430之前的版本,产品接入的device服务,会将即将过期看成过期,因此就不展示其余第三方应用
【解决方法】:
1、重新授权,让授权状态不是“即将过期”状态
2、升级到解决“即将过期“问题的版本。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-18 11:42
技术员3级 