跳至主内容

扩展检测与响应 ( XDR )

扩展检测与响应 ( XDR ) 该功能是一项跨公司事件关联组件,能够检测混合基础设施(运行各类操作系统的工作站、服务器或容器)中跨多端点的进阶攻击。作为我们全面集成的环境防护平台的一部分, XDR 汇聚了企业网络中的设备情报。该解决方案可协助事件响应团队调查和应对高级威胁。

重要提示

XDR 功能的具体能力可能因当前订阅计划所包含的许可类型而异。

扩展检测与响应 ( XDR )是一种轻量级跨公司解决方案,可帮助您实现以下功能:

  • 查看、分析并降低全网事件对您环境的影响(参见 扩展事件视图 ).

  • 采取 措施 消除漏洞并规避重复攻击风险。

  • 检测 规避传统端点防护机制的活动。

  • 搜索 特定入侵指标(IoCs)及可疑元素,助力安全分析师发现早期攻击。

您可为 XDR 添加传感器以丰富事件数据并提升数据关联性。添加网络、身份提供商、云工作负载及生产力应用相关传感器需单独许可。

由此提供易于遵循的响应工作流,使事件响应团队能够遏制横向扩散并阻断进行中的攻击。

组件构成

扩展检测与响应 依赖于以下组件:

  • GravityZone 控制中心

  • 安全代理(Windows)

配置并安装该功能

要开始使用此功能,请按照以下步骤操作:

重要提示

如果您的终端已部署 BEST 代理,可通过“重新配置代理”任务将该模块添加至终端。若未安装代理,则需使用安装包部署 BEST 及其所有必备模块至终端。

下文包含两种操作流程。

功能测试

试用自定义规则功能

这将允许您创建一条自定义规则,当在特定文件夹中检测到特定文件名时触发警报:

  1. 在需要测试该功能的终端上,创建一个测试文件夹(例如,在分区 test 下创建名为 C: ).

    注意

    确保您编辑或创建的策略已应用于该终端。

  2. 创建一个名为 .txt 的文件,文件名为 test_detection .

  3. 从左侧菜单进入 自定义检测规则 页面。

  4. 点击 添加规则 .

  5. 配置以下条件:

    • 将以下情况视为检测 ,选择 文件 .

    • 路径 > > C:\test\

    • 名称 > > test_detection

    custom_rule_test_350425_en.png

  6. 选择 下一步 .

  7. 输入规则名称和描述并选择 创建规则 .

  8. 等待几分钟以使新创建的规则被终端接收。

  9. 前往 测试 文件夹并打开 .txt 文件。

    规则触发后将生成警报。您可以在 搜索 事件 页面。

有关 自定义规则 功能的更多信息,请参阅 自定义检测规则 .

本节内容 :