【交付直播】XX项目分布式XDR项目交付直播

*项目成员：闫凯、陈英杰、李永威、周杰*

一、项目背景

        XX公司是华北区关键的客户，属于全国性公司。客户安全设备众多：深信服16台AF、AC、SIP、STA、EDR、云镜等，另外有某为防火墙、某藤云的IPS等安全设备。然而设备的增多并没有给客户带来立体的效果及维护的便捷，此时，深信服通过对“云、网、边、端”安全能力组件的集成整合与强化，以“AI驱动为核心”，为xx公司构建一套贯穿网络安全事件预测、监测、分析、响应、溯源全流程可闭环的智能化、自动化可扩展检测响应平台。

二、项目启动

        2.1、需求说明

      1.安全设备众多、众多设备联动发挥的作用不明显。

   客户现网安全设备众多，包括我司和第三方的安全设备，设备基本都是单独的进行安全防护，从总体状况来看，设备运维效率低，现网的安全效果不明显。

      2.安全运维状况复杂，运维众多设备排查攻击事件耗时耗力，运维压力大。

   设备属于不同厂商，使用过程中运维难度较大，而且发生安全事件排查难度大，处置时间长，难以起到有效的安全防护效果。

      3.安全设备生成海量日志，运维研判困难，难以快速处置。

   安全设备众多，导致生成的日志数据海量，运维人员难以针对攻击事件进行研判，导致处置的结果和效率不够明显。

     4.攻击路径不能可视化，运维对攻击事件溯源困难，误报事件较多。

   现网中不能查看攻击行为的具体路径，难以对攻击行为进行溯源分析，生成的众多告警事件中误报事件较多。

  2.2、解决方案

方案设计思路如下：

     1.部署分布式XDR设备：联动我司安全设备和第三方安全设备。

     2.配置合理的SOAR剧本：梳理客户现网常见攻击方式及溯源需求，配置对应剧本，提升运维及溯源效率。

     3.配置自定义的IOA和IOC规则以及智能响应策略，便于对常见的攻击行为进行自动响应和处置，提高事件处置效率。

    4.配置资产的入库出库策略，利于客户对现网资产的管理，保证终端资产的有效使用。

    5.配置白名单规则，梳理客户现网设备信息，对误报的IP地址进行加白，减少运维人员的排查精力。

    6. 自定义报表模板，针对客户想查询的安全攻击信息进行手动编排，文字和图像化信息一键导出，提高对安全汇报的效果。

2.3、项目分工

     深信服：搭建XDR平台，以及完成安全产品的对接

     客   户： 完成XDR到安全产品的网络可达

     三   方： 配合完成三方设备对接到XDR平台。

   2.4、相关人员通讯录

三、项目规划

          按阶段按计划完成设备对接XDR平台。

四、实施效果

       4.1.海量日志消减，生成精准少量告警。

      XDR平台上线后，告警同比消减99%，将150多亿的原始日志聚合成6.5万的安全告警，最终生成93条安全事件，有效帮助用户提高运维的效率和运维的精准。

4.2.设备联动，针对告警事件一键处置。

  分布式XDR对接我司18台设备，分别是14台防火墙、1台SIP、2台APT，1台EDR，对接第三方5台设备，分别是4台华为防火墙、1台青藤的HIDS，通过联动不同的安全设备来对安全事件进行处置。

4.3.攻击链溯源，快捷研判处置。

       XDR会自动根据现网安全事件以及丰富的上下文信息，生成对应的攻击链，通过攻击路径、攻击时间、攻击结果、攻击日志及数据包等内容便于对事件进行研判和处置。

通过对“云、网、边、端”安全能力组件的集成整合与强化，以“AI驱动为核心”，协助客户搭建了一套贯穿网络安全事件预测、监测、分析、响应、溯源全流程可闭环的智能化、自动化可扩展检测响应平台，有效帮助用户解决日常安全运营、实战对抗中工作面临的威胁看不清、难定位、难溯源，安全碎片化难协同与人员组织流程等各类问题。

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢楼主分享，努力学习中！！！！！

每天学习亿点点，每天进步一点点

感谢分享                                                           

多谢楼主分享交付的相关经验，有助于工作。

每天学习亿点点，每天进步一点点

感谢楼主分享，努力学习中！！！！

每天坚持打卡学习签到！！