深信服pt1考试XDR手册.docxVIP

实验概述 通过课程学习以及实验练习，可以快速掌握SAAS XDR核心功能，具备SAAS XDR交付能力。 实验背景 用户购买了一套深信服设备用于参加国家级重保，希望通过深信服SAAS XDR平台结合组件的形式在重保期间崭露头角。购买的设备清单包括SIP*1、AF*1、EDR*1、CWPP*1、STA*1、SAAS XDR*1；根据客户需求，总结出有以下关键几点： AF用于捕获数据中心流量进行检测拦截，并且具备探针功能的防火墙可以跟SAAS XDR对接作为网络流量检测辅助设备； EDR部署在办公网络终端，用于检测和杀毒，结合高级威胁功能发现终端的异常行为； CWPP部署在数据中心服务器上，用于检测远程代码执行、反弹Shell、恶意外联等重保过程中常见的黑客行为以及热点漏洞及时评估； STA用于镜像办公网以及OA服务器之间的东西向流量。 ? 实验目标 通过SAAS XDR产品培训以及实验操作可以掌握以下SAAS XDR核心功能： 设备对接 基础安全事件处理 联动响应 资产梳理 攻击面管理 消息推送 实验说明 本实验默认所有组件都已经上架加电完成，agent已完成安装，只关注配置部分思路以及效果。 实验环境 ? ? IP地址及端口规划： 设备名称 端口类型 端口描述 IP地址 备注 AF 管理 eth0 0 admin/Sxf@2022 业务 eth1 ? 路由 eth2 出口 EDR 管理 eth0 0 admin/Sxf@2022 业务 eth1 0 ? SIP 管理 / 0 admin/abc-1234 业务 / 0 ? PC 管理 / User/Win#@desk 业务 / ? XDR 账号 zhangzhentan 密码 Sxf@2021 ? 接收验证码的邮箱账号 sangforxdr@ 邮箱登录密码 X DR.sangfor ? 邮箱网址 /owa/ ? XDR网址 /#/login 实验场景 设备对接 设备对接通常是SAAS XDR项目启动的第一步，需要将各组件的数据上传至SAAS XDR，作为SAAS XDR威胁分析的数据源。通过正确的配置设备对接可以更稳定的将组件识别到的安全数据上报至SAAS XDR进行关联分析。 配置思路 在配置设备对接前，需要先确认以下信息：1、客户深信服云图ID；2、组件软件版本是否符合对接要求；3、组件网络是否可以连接SAAS XDR相关域名。 确认以上信息符合要求之后，首先在组件上配置对接设置，确认组件系统时间，进行资产分组等，接着在SAAS XDR上面配置组件对接信息，对接使用的账号密码需要跟组件上面对接部分配置一样。 ： 如何确认上述信息请参考《深信服安全检测与响应平台SAAS XDR产品安装指导书》中第二章。 设备对接目标 需要将SIP、EDR、AF等组件跟SAAS XDR进行对接，保证数据上报正常以及设备联动正常。 EDR对接SAAS XDR配置步骤 主要分为组件以及SAAS XDR两个部分配置，此处示例EDR跟SAAS XDR对接，其他组件详细对接配置请参考《深信服安全检测与响应平台SAAS XDR产品安装指导书》附上材料下载链接 /plugin.php?id=sangfor_databases:indexmod=viewdatabasetid=224565highlight= EDR配置 登录EDR管理平台(0)，点击系统管理-基本设置，将EDR设备时间调整跟本地时间之间误差不超过1分钟。 ? 点击系统管理-联动管理，点击接入联动设备，选择使用设备账户、密码接入，设备类型选择XDR，填写设备名称、企业ID、接入设备名称、接入密码等信息。接入设备名称跟接入密码后面需要跟XDR设备对接处保持一致。 ? ： 填写的账号以及密码不是云图的账号密码，是EDR跟XDR对接使用的账号密码。 ? 点击下一步，勾选开启命令通道、允许被单点登录到此设备以及开启日志上报。 ? 在系统管理-系统设置-基本设置-页面中，勾选联动设备准入设置，点击保存。 点击系统管理-联动管理，点击接入联动设备，选择使用设备账户、密码接入，设备类型选择XDR，填写设备名称、企业ID、接入设备名称、接入密码等信息。接入设备名称跟接入密码后面需要跟XDR设备对接处保持一致。 ? ： 填写的账号以及密码不是云图的账号密码，是EDR跟XDR对接使用的账号密码。 ? 点击下一步，勾选开启命令通道、允许被单点登录到此设备以及开启日志上报。 ? 在系统管理-系统设置-基本设置-页面中，勾选联动设备准入设置，点击保存。 ? 点击系统管理-系统设置-基本设置页面中，勾选云安全计划，点击保存。 ? 根据客户现网资产配置资产分组信息，方便资产梳理以及效果呈现。 ? ? SAAS XDR对接EDR配置 SAAS XDR登录方式 登录