MSS-XDR底座新客户切换指导手册

一、背景 组件+平台+服务是公司的战略，未来SAAS-XDR和MSS一定是天然融合在一起的平台+组件+服务的SAAS模式。 研发目前已经完成MSSP安全能力迁移至“XDR能力引擎+安全分析中台”的开发工作，也已经分别在测试环境和线上环境完成了安全效果的测试和验收，也在线上进行了60+客户为期2个月的运营，目前看来新底座的安全效果是不弱于老底座的，在一些场景效果比老底座更好，目前也有约300个MSS+XDR客户在线上正常运营。因此计划于12.7晚升级后，MSS新客户全面接入新底座。 二、新客户接入新底座的影响和改动点 影响范围：只影响12.7晚平台升级后，在MSSP上新创建的客户 改动点：1、除TSS设备保持接入方式不变，其他设备接入时，需要在设备侧选择接入XDR或云图；具体接入方式参见第三章《新客户设备接入流程》 2、设备后端数据流变化，见下图 三、设备接入流程 1、接入前置检查项【所有客户通用】 （1）版本确认         新底座支持的接入设备版本在以下链接查询： [url=]https://support.sangfor.com.cn/productDocument/read?product_id=102&version_id=674&category_id=251097[/url] 注意，因新底座新流程对设备版本要求较高，所以按以下规范执行： （1）当设备版本满足接入要求，按新流程接入 （2）当设备版本不满足要求（包括需要打补丁的方式），需要引导升级，再按新流程接入 （3）当设备版本不满足要求（包括需要打补丁的方式），且无法升级，按照老的流程接入 老底座支持的接入版本：                 AF：新架构主线版本都支持，老架构8.0.8以上的主线版本都支持         SIP：3.0.20以后的版本都支持         NTA：NTA2.0.3-2.0.6 以及NTA 3.0.1Y 、3.0.2Y支持                 STA：不支持接入老底座                 EDR：3.5.2以上版本支持                 CWPP：所有版本均支持         （2）设备网络放通处理         [url=]MSS需要放开的IP及域名列表.xlsx[/url] 2、不同场景接入指导 首先解释下不同场景： （1）新底座纯MSS客户：没有购买XDR，2023.12.8后在MSSP创建的客户，或2023.12.8之前单独跟服务经理沟通切换了底座的客户 （2）新底座MSS+XDR客户：购买了XDR，2023.12.8后在MSSP创建的客户，或2023.12.8之前单独跟服务经理沟通切换了底座的客户 （3）老底座纯MSS客户：没有购买XDR，除（1）范围外的所有客户 （4）老底座MSS+XDR客户：购买了XDR，除（2）范围外的客户 以上场景区分影响AF、SIP、NTA、STA、EDR、CWPP设备的接入，不影响TSS接入 3、新底座纯MSS客户/新底座MSS+XDR客户 1、 SIP/NTA设备接入 （1）在MSSP上添加新设备 进入MSSP>>设备管理页面，平台选择MSSP，点击新增按钮进行新增设备，设备信息选择SIP，再填写设备名称、接入账号、接入密码与分支名称即可创建SIP设备。 （2）将设备接入云图或XDR SIP3.0.69-3.0.71版本 SIP设备界面，进入“工具箱”>>“响应工具”>>“深信服XDR平台页面； 在页面接入方式选择云端XDR，输入MSSP客户ID，以及MSSP分支上的设备接入账号密码，点击保存； 切换到数据上报页面，开启数据上报 IP3.0.77-3.0.82版本/NTA3.0.4Y版本 SIP设备界面，进入“工具箱”>>“响应工具”>>“深信服XDR平台页面； 在数据上报页面点击新增按钮，设备类型选择云图或XDR，输入MSSP客户ID，以及MSSP分支上的设备接入账号密码，上报策略保持默认，点击确定； SIP3.0.83版本及以上 SIP设备界面，进入“工具箱”>>“响应工具”>>“深信服XDR平台页面； 在数据上报页面点击新增按钮，设备类型选择云图(SaaS XDR/MSS)，输入MSSP客户ID，以及MSSP分支上的设备接入账号密码，上报策略保持默认，点击确定； NTA3.0.3Y版本 NTA设备界面，进入“工具箱”>>“响应工具”>>“深信服XDR平台页面； 在页面接入方式选择云端XDR，输入MSSP客户ID，以及MSSP分支上的设备接入账号密码，点击保存；然后开启数据上报。 检查设备跳转 进入MSSP>>设备管理页面，找到创建的SIP设备，点击“管理”即可。 2、AF设备接入2.1、AF8.0.48、AF8.0.75-AF8.0.83版本 注意：8.0.48、8.0.75版本需要打对接XDR的补丁包，参考以下链接 [url=]可扩展的检测与响应平台XDR（SAAS）-深信服技术支持[/url] （1）在MSSP上添加新设备 进入MSSP>>设备管理页面，平台选择MSSP，点击新增按钮进行新增设备，设备信息选择AF，再填写设备名称、接入账号、接入密码与分支名称即可创建AF设备。 注意：直接复制接入信息时文档，更方便后续接入 （2）将设备接入XDR 进入AF界面，选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护”； 选择“云端XDR管理平台”接入，企业ID选择MSSP平台的对应“客户ID”，接入设备名称填写MSSP平台的AF设备账号，接入密码填写MSSP平台的AF设备密码即可；点接入XDR即可； 接入成功后，下方存在开启数据上报按钮，点击开启即可。 （3）AF配置安全策略（已配置策略的设备可跳过此步骤） 注意：此步骤是为确保AF能正常产生安全日志，必须配置安全防护策略，如已配置策略，可忽略此步骤； 进入“策略”>>“安全策略”>>“安全防护策略”页面，点击新增按钮，选择业务防护策略，名称填写策略名称，状态勾选启用，根据自身需要配置源地址、目的地址、策略优化项，点击下一步； 评估页面、防御页面根据默认配置即可，点击下一步； 检测响应页面DNS服务器选择“否”，其他根据默认配置即可，点击确定即可完成策略创建。 （4）检查设备跳转 进入MSSP>>设备管理页面，找到创建的AF设备，点击“管理”即可跳转。 2.2、 AF8.0.85及以上 （1）在XDR平台上添加新设备 从MSS跳转到XDR平台，进入“配置管理”>>“产品接入”，新增AF设备，将客户ID、接入ID、接入密码、设备联动码保存，点击新增。 （2）AF接入XDR平台并开启数据上报 进入AF界面，选择“安全运营”>>“下一代安全体系”>>“高级威胁检测与防护（XDR）”； 进入“智能运营平台接入配置”页面，配置“安全防护策略”，确保域名全部放通 ，连通性测试通过，点击下一步 输入上方的XDR客户、接入ID、接入密码、设备联动码，开启数据上报；点击提交。 （3）检查设备跳转 进入MSSP>>设备管理页面，平台选择SAAS-XDR，找到XDR平台同步过来的AF设备，点击“管理”即可跳转。 3、EDR/AES设备接入 （1）在MSSP上添加新设备 在MSSP分支重新添加一个新EDR设备 注意：直接复制接入信息到临时文档，更方便后续接入 （2）将设备接入XDR 进入EDR界面，选择“系统管理”>>“联动管理”，点击“接入联动设备”按钮； 在接入联动设备窗口中，选择“使用设备账户、密码接入”； 设备类型选择“深信服安全监测与响应管理平台（XDR）”； 设备名称自行填写相应名称，接入方式选择“SaaS XDR”或“云图”； 企业ID选择MSSP平台的对应“客户ID”； 接入设备名称填写MSSP平台创建的EDR设备账号，接入密码填写MSSP平台创建的EDR设备密码； 点击下一步，勾选“命令通道”、“允许被单点登录到此设备”，点击确定。 （3）开启联动设备准入 进入EDR界面，选择“系统管理”>>“系统设备”>>“基本设置”，        勾选联动设备准入设置。 （4）检查设备跳转 进入MSSP>>“客户管理”页面，左树切换到设备管理页，平台选择MSSP，找到第3步中创建的EDR设备，点击“管理”。 4、 SASE-EDR设备接入 （1）在XDR上新增设备 登录SAAS XDR平台点击设置->设备管理，点击新增，设备类型选择SaaS-EDR，认证信息会自动生成设备名称、客户ID、接入ID以及接入密码， 设备信息会自动生成分支名称，其他信息按需进行修改。 点击“复制认证信息并确定”会将认证信息复制到剪切板，这样就完成XDR上SaaS-EDR设备添加。 （2）云图配置 如果设备类型选择SaaS-EDR后，认证信息和设备信息为灰色，需要登录云图打开设备管理页面，找到需要对接的EDR设备，修改EDR的接入平台为：XDR（安全检测与响应平台），具体操作如下： （3）SASE-EDR配置 1）点击系统管理->联动管理，点击接入联动设备，设备类型选择深信服安全检测与响应管理平台（XDR），接入方式为SaaS XDR，点击粘贴认证信息，自动填充刚从SAAS XDR平台复制的认证信息。 2）点击下一步，分别勾选“开启命令通道”、“允许被单点登录到此设备”以及“开启日志上报”； 3）二次确认EDR跟下图中域名通信情况，确认都通信正常后点击确定 （ 1）在XDR上面查看显示设备在线。 2）点击SAAS EDR设备操作栏中的管理，可单点登录跳转到组件控制台 5、检查日志告警生成情况 1、到分析中心>检索中心和告警表检查是否有对应设备的原始日志和XDR事件生成 4、老底座纯MSS客户/MSS+XDR客户         保持不变，按已有设备接入方式对接即可