|
一 、客户需求说明
xx集团被上级单位检测具有挖矿等异常行为,从而上级单位发文通报批评。通报场景是监管单位通过C2(Command and Control)情报、行为检测等方式,发现失陷主机在进行挖矿、僵尸网络等行为;进而通报有关单位进行整改。 1、防通报需求:内网主机外联恶意IP(挖矿、黑库工具等)未能检出和阻断,导致被通报。存在被监管单位反复通报要求整改的情况;客户需要一种更快、更准的解决方案。 2、内网失陷资产溯源闭环需求:内网资通过IP为单位出口公网IP,无法有效溯源到失陷主机,同时内网失陷主机多,无法及时处置闭环; 二、解决方案
1、防通报:AF联动SASE技术,调用云端实时云查接口,实现IOC情报实时云查功能:
已知威胁直接拦截(100ms)
![]()
未知威胁实时云模拟(5min后威胁情报下发)
![]()
2、内网失陷资产溯源闭环:内网失陷主机多,无法及时处置闭环,使用深信服EDR进行云网端联动处理;
三、实施过程 实施条件准备:、版本支持:支持新架构防火墙AF8.0.85及以上版本 型号支持范围:B系列和FH系列都支持性能下降:开启“云威胁情报网关”,AF设备应用层性能下降5%左右; 接入步骤:登录深信服"云图" 在云图首页中接入设备,将深信服AF接入云图中;点击“安全运营-网云联动-云安全访问服务-线路配置-新增”,弹出下列新增页面,出接口选择联网的接口;引流策略将境外的IP和DNS引流;EDR和AF设备配置联动;
四、效果呈现 功能价值
![]()
检测实现主机及阻断风险访问多:近7天检测出失陷主机6.1万+,主动探测未知威胁情报295条,拦截73.3万次异常流量,其中DNS请求拦截3.1W次,拦截IP请求70.1万次; ![]()
威胁IP一键处置:通过手机端全面监控失陷主机,联动AF,EDR一键阻断威胁IP;
![]()
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-21 00:03
技术研究员1级 
