跳至主内容

扩展检测与响应 ( XDR )

扩展检测与响应 ( XDR ) 功能是一个跨公司事件关联组件,能够检测混合基础设施(运行各种操作系统的工作站、服务器或容器)中跨多个端点的高级攻击。作为我们全面集成的环境防护平台的一部分, XDR 汇聚了企业网络中的设备情报。该解决方案可协助事件响应团队调查和应对高级威胁。

重要提示

XDR 功能的能力可能因当前计划包含的许可证而异。

扩展检测与响应 ( XDR )是一种轻量级跨公司解决方案,使您能够:

  • 查看、分析并最小化全网事件对您环境的影响(参见 扩展事件视图 ).

  • 采取 措施 消除漏洞并降低反复攻击的风险。

  • 检测 规避传统端点防护机制的活动。

  • 搜索 特定入侵指标(IoCs)和可疑元素,使安全分析师能够发现早期攻击。

您可以为 XDR 添加传感器以丰富事件数据并获得更好的数据关联。添加与网络、身份提供商、云工作负载和生产力应用相关的传感器需要单独的许可证。

这为您提供了易于遵循的响应工作流,使事件响应团队能够限制横向扩散并阻止正在进行的攻击。

组件

扩展检测与响应 依赖于以下组件:

  • GravityZone 控制中心

  • 安全代理(Windows)

配置并安装功能

要开始使用此功能,请按以下步骤操作:

重要提示

如果您的终端已部署 BEST 代理,可通过重新配置代理任务将模块添加至终端。若未安装代理,则需使用安装包部署 BEST 及其所有必备模块至终端。

下文包含两种操作流程。

功能测试

测试自定义规则功能

此功能可创建自定义规则,当在指定文件夹检测到特定文件名时触发告警:

  1. 在需要测试的终端上创建测试文件夹(例如在 测试 分区下创建 C: ).

    注意

    确保编辑或创建的策略已应用于该终端。

  2. 创建名为 .txttest_detection .

  3. 前往 自定义检测规则 从左侧菜单进入该页面。

  4. 点击 添加规则 .

  5. 配置以下条件:

    • 将以下情况视为检测 中,选择 文件 .

    • 路径 > > C:\test\

    • 名称 > > test_detection

    custom_rule_test_350425_en.png

  6. 选择 下一步 .

  7. 输入规则名称及描述后,选择 创建规则 .

  8. 等待几分钟,确保新创建的规则能被终端接收。

  9. 进入 test 文件夹并打开 .txt 文件。

    触发此规则后将生成警报。您可以在 搜索 事件 页面查看该警报。

有关 自定义规则 功能的更多信息,请参阅 自定义检测规则 .

本节内容 :