6月，東莞市實戰(zhàn)攻防演練火熱打響。深信服參與了某大型國有企業(yè)的重保值守。 16日上午10點38分，深信服SaaS XDR一經上線，檢測到2臺服務器分別出現(xiàn)偽裝系統(tǒng)文件及賬號竊取工具的告警。 猶如一聲槍響，接下來就是與紅隊的一場“時間爭奪戰(zhàn)”。 16分鐘后，通過可視化進程鏈溯源快速定位，深信服安全專家鎖定攻擊入口是某OA軟件的漏洞。 1個小時后，SaaS XDR聯(lián)動終端安全管理系統(tǒng)EDR，對惡意文件執(zhí)行隔離，阻止攻擊擴散。 5分鐘后，結合托管檢測與響應服務MDR，云端專家快速對受影響服務器進行影響面分析，清除惡意文件、惡意賬號等。

△深信服SaaS XDR可視化攻擊鏈界面展示告警詳情

　　1小時21分鐘，深信服干凈利落閉環(huán)事件，實戰(zhàn)出招制勝，更贏得了用戶的認可。 一張圖片，簡單還原這場“攻防大戰(zhàn)”

　　1小時21分鐘，秘密武器在哪里？ 這場實戰(zhàn)攻防演練可貴在“速戰(zhàn)速決”。將響應時間從原本超48小時降至1小時21分鐘。 如未搶占先機、及時制止，用戶的核心業(yè)務服務器將被紅隊完全控制，不費吹灰之力獲取業(yè)務賬號、密碼等重要數(shù)據(jù)。 這背后，秘密武器在哪里？ 終端失陷溯源可視化，一眼識破攻擊入口 現(xiàn)有的網絡攻擊往往不是一蹴而就的，安全設備產生的告警，僅僅是復雜的攻擊鏈其中一環(huán)，只有關聯(lián)每一步攻擊行為，才能溯源攻擊入口、發(fā)現(xiàn)真實攻擊意圖，最終快速定位和研判攻擊。 因此，自動提供可視化的攻擊路徑，是網絡空間防御體系向著智能化方向發(fā)展的重要基礎。 在此案例中，終端失陷溯源可視化發(fā)揮了至關重要的作用。不用花幾小時定位入侵源頭，SaaS XDR在告警詳情頁面已直接展示攻擊入口信息，溯源時間從小時級壓縮至分鐘級。同時平臺在每個攻擊的步驟上給出處置建議，幫助用戶精準高效完成閉環(huán)工作。

　　深信服XDR的可視化攻擊進程鏈，來源于先進的統(tǒng)一數(shù)據(jù)模型——溯源圖（Provenance Graph），其按時間順序記錄用戶環(huán)境中發(fā)生的一切行為，將所有遙測數(shù)據(jù)串成一個圖：對于終端側收集的數(shù)據(jù)，點就是進程、文件、注冊表、IP、DNS、內存、計劃任務等，邊就是系統(tǒng)級事件；對于網絡側收集的數(shù)據(jù)，點就是落在網絡拓撲中的云、網、端節(jié)點，邊就是互相連接的網絡流量。 將溯源圖里的時間、資產、網絡、情報等更多因子進行關聯(lián)，選取與威脅相關的點和邊，形成一張小型圖，這張小型圖就是攻擊進程鏈的雛形——威脅圖譜（Threat Graph）。 基于威脅圖譜的告警統(tǒng)計、時序、語義、情報、關聯(lián)等上下文，XDR平臺可精準判斷終端是否已失陷，也可對告警進行自動化分類，并評估其威脅等級，實現(xiàn)減少誤報漏報，驅動從告警向事件轉化的質變。

　　得益于可視化技術，深信服XDR是攻防對抗場景中的一把利劍，直接刺向“敵人的心臟”。 7*24小時MDR服務，極致響應快人一步 實戰(zhàn)攻防演練場景下，大部分用戶憑借自身安全能力，難以有效應對快速發(fā)生的攻擊事件。即便有專業(yè)運營人才，用戶缺乏規(guī)范的應急機制和響應流程，導致事件閉環(huán)效率低，平均響應時間超過48小時。 深信服SaaS XDR對接托管檢測與響應服務MDR，實現(xiàn)云地協(xié)同7*24小時持續(xù)監(jiān)測，平均5分鐘響應、2小時閉環(huán)、6小時歸檔。 一旦發(fā)現(xiàn)安全事件，以規(guī)范的應急機制和響應流程，深信服MDR從監(jiān)測、判斷、調查到處置，實現(xiàn)服務專家實時處置閉環(huán)，減輕用戶日常運營壓力，讓安全工作省力省心。

　　一步登天的“快”，來源于千日練兵的“慢”。 依托于多年積累的AI自動化平臺技術，以及專業(yè)人才大量實戰(zhàn)攻防經驗，形成獨特的“人機共智”理念和SaaS化模式，深信服MDR能夠快速共享安全專家、工具、經驗，組織單位將以最佳投入產出比獲得TOP級單位的安全能力。 一張圖片，簡單總結這次WebShell攻擊事件

　　深信服可擴展檢測響應平臺XDR深信服XDR是一種安全威脅檢測和事件響應平臺，通過原生的流量采集工具與端點采集工具收集關鍵數(shù)據(jù)，通過網端聚合分析引擎對數(shù)據(jù)進行上下文關聯(lián)分析，實現(xiàn)攻擊鏈深度溯源，結合托管檢測與響應服務MDR，釋放人員精力；同時具備可擴展的接口開放性，協(xié)同SOAR等產品，化繁為簡，帶來深度檢測、精準響應、持續(xù)生長的安全效果體驗。