EDR联动XDR,解决你的大麻烦!!!
  

Z丶 10402

{{ttag.title}}
本帖最后由 Z丶 于 2024-9-5 12:31 编辑

前言
diudiudiudiu~~~~
首先给大家介绍一下,什么是EDR(3.8.6版本以后叫aES),什么是XDR
EDR,英文全称:Endpoint Detection and Response,中文名称是“终端检测响应平台”。是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。管理端具有 统一终端资产管理、终端病毒查杀、终端合规检查、微隔离访问控制策略统一管理等功能。可对安全事件一键隔离处置以及热点事件IOC全网威胁定位。Agent具有防病毒、 入侵防御、防火墙隔离、数据信息采集上报、一键处置等功能,对终端文件安全进行有效的保护。EDR是AES的前身; AES是在EDR产品功能基础上、同时融合了CWPP、容器产品功能,从标准版本3.8.6开始,EDR更换名字为AES(下文继续称EDR)。

XDR英文全称:Extended Detection and Response,中文名称:可扩展的检测与响应平台;深信服XDR通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台,通过云端专家服务提供威胁分析研判及狩猎能力,提供SAAS化交付方式实现在线化效果,为用户带来深度检测、精准响应、持续生长的价值。

接下来给大家讲讲,怎么把EDR接入XDR

首先登陆深信服云图:https://x.sangfor.com.cn/portal/#/
右上角点击登陆,登陆成功后跳转云图首页,如下图所示,前提是客户有购买后,可联系云端提供客户云图账号进行绑定开通后可在以下位置找到XDR的登录入口
点击后进入XDR主页
在左侧列表中点击配置管理—产品接入

目前安全设备版本里对接入XDR还是有要求的,可参考社区链接:https://support.sangfor.com.cn/p ... &category_id=193155

点击新增,可弹出窗口
可选择对应的设备进行联动(本帖主要以EDR为例)
填写好后点击复制认证信息并确定


接下来就是EDR上的操作了
登陆EDR平台
点击联动管理—设备联动—接入联动设备
弹窗里选择使用设备账户、密码接入,然后设备类型选择XDR
选中XDR后,粘贴刚才在XDR平台新增设备时复制的认证信息(切勿在XDR新增完设备后复制其他信息操作,否则会进行粘贴认证信息失败,若粘贴失败,可去XDR平台,点击刚才新增设备信息编辑,重新复制认证信息),粘贴完后点击下一步
下一步后其余默认无需更改,需点击开启行为数据采集,会跳转策略配置
如下图红色标注,全部选中,点击保存后,回到刚才界面
注意以下网络连通性测试,一定确保所有域名检测成功,如若检测失败,排查网络环境,是否为防火墙拦截以下域名:
1
device.scloud.sangfor.com.cn:443
保障设备能够接入XDR

2
device.sangfor.com.cn:443
保障设备能够接入XDR

3
dlauth.sangfor.com.cn:443
保障数据可以上传到XDR

4
datalake.sangfor.com.cn:443
保障数据可以上传到XDR

5
upd.sangfor.com.cn
保障设备规则库可以正常升级

6
intelligence.sangfor.com.cn
保障设备规则库可以正常升级

7
download.sangfor.com.cn
保障设备规则库可以正常升级
点击确定后提交

提交成功后得耐心等待十分钟后可在XDR平台上看到EDR上线


此贴为EDR对接XDR的方法,其余设备AF/SIP等,XDR平台的新增设备操作都是一样,在具体设备操作如下:
SIP:
SIP对接XDR在系统设置—开放共享—数据上报,点击新增后弹窗,也可直接粘贴在XDR新增设备后复制的认证信息,而后点击确定,等待十分钟上线即可

AF:
防火墙在安全运营—高级威胁检测与防护(XDR)里对接(如下要求所示,在未打XDR补丁之前,在安全运营里是看不到此模块,所以先要合入XDR补丁包后对接)
AF接入XDR情况需根据版本确认(AF接入XDR是不需要额外的授权的,有配置界面即可配置接入):
1、老架构AF8.0.45及以下版本,AF不支持对接SAAS-XDR
2、老架构AF8.0.48,AF需加载优化包后,才有对应配置页面,只可对接SAAS-XDR
3、新架构AF8.0.75,AF需加载优化包后,才有对应配置页面,只可对接SAAS-XDR(AF8.0.75以下版本建议使用8.0.75及以上版本对接)
4、新架构AF8.0.85,AF无需加载优化包,可对接SAAS-XDR和分布式XDR

AF8.0.48版本、AF8.0.75补丁包下载地址:https://support.sangfor.com.cn/productSoftware/list?product_id=102




此贴到此结束,XDR+GPT是目前基于"平台+组件+服务"的安全理念,满足用户对深度检测、精准响应、持续生长的安全需求。



END

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

平凡的小网工 发表于 2024-10-6 21:51
  
EDR的联动配置步骤清晰,图文结合的很好。
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
干货满满
西北区每日一问
安全效果
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
高手请过招
信服课堂视频
GIF动图学习
产品连连看
秒懂零信任
技术晨报
自助服务平台操作指引
每周精选
社区新周刊
技术圆桌
安装部署配置
每日一记
玩转零信任
纪元平台
场景专题
升级&主动服务
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人