深度技术解析：深信服XDR如何实现攻击故事线还原？

近期，深信服XDR捕获了“银狐”钓鱼攻击事件，在某科技企业真实环境中实现准确检出。

这是一场与黑客的时间争夺战。

在黑客采取下一步行动之前，如何有效溯源攻击入口？如何及时封堵外联IP？

这也是一场钓鱼病毒的剿灭战。

如何彻底清除威胁实体？如何零遗漏处置事件？

以往用户基于流量侧告警，无法直接判断是否误报、是否攻击成功，还需要到PC／服务器进一步取证确认，同时基于单个告警做处置，往往无法全面清除威胁实体。

好在，通过深信服XDR攻击故事线还原能力，整个攻击过程一览无余：

黑客以微信为钓鱼攻击入口，引导员工下载压缩包文件，并运行了恶意钓鱼程序。该恶意程序创建了一个新的恶意程序，并外联了恶意的C2 IP地址。

基于攻击故事线，安全运营人员一眼就能看清整个攻击事件的入侵路径、攻击结果、事件影响，溯源调查效率提升70％。

通过联动统一终端安全管理平台aES，快速隔离处置主机恶意文件、封禁外联IP，彻底清除威胁实体，深信服XDR打赢了这场时间争夺战与病毒剿灭战。

可以看到，当钓鱼攻击事件发生，要实现“告警研判准确、溯源提效、处置零遗漏”，这一切都离不开XDR攻击故事线还原能力。

攻击故事线还原关键技术

作为国内率先推出攻击故事线还原能力的安全平台，深信服XDR主要依靠网端关联、网网关联和终端攻击链还原技术，关联文件操作行为、网络连接行为、漏洞攻击行为、攻击类型及阶段行为，并进行详细的攻击信息举证。

网端关联

根据网端发生“相同事情”的关联性，网端关联分为强关联、逻辑关联和弱关联，关联强度越强，泛化能力就越弱。

深信服XDR网端关联引擎，可以自动有效地串联起多维度安全信息，不仅提高对未知威胁、隐蔽攻击的检出率，还通过充分的溯源举证，大幅提高安全事件的准确度，帮助安全团队能做判断，敢做判断，有效处置。

值得强调的是，这一切都是自动化完成的。

网网关联

以往我们通过单包请求数据与响应数据综合分析是否攻击成功，但是对于一些跨流场景的攻击成功无法识别。网网关联正是解决单次攻击跨越多个数据流，导致检测不准确的情况。

比如针对Log4j漏洞利用的攻击，XDR可通过“漏洞攻击－语法还原－提取外联地址－上下文关联分析－远程加载恶意样板－智能AI引擎查杀”进行关联与攻击信息举证。

终端攻击链还原

终端攻击链还原离不开IOA行为引擎——基于先进的数据编织（Data Fabric）框架，以及多事件复杂关联规则匹配算法，依靠泛化行为规则提高未知高 级威胁攻击检测能力，能关联复杂的、时间跨度大的攻击行为，准确、详细、真实地描绘攻击者行为，最终在进程层面形成可视化攻击链。

攻击故事线还原主要覆盖场景

深信服XDR攻击故事线还原主要覆盖入侵、钓鱼、病毒攻击和横向攻击等多场景，以下为典型示例。

入侵场景：快速判断攻击入口／攻击成功

黑客通常利用高危漏洞攻击Web服务器，进而获取权限入侵内网，并通过上传Webshell或反弹Shell，下载恶意文件、创建恶意服务／进程、搭建隧道代理等，实现权限维持。

深信服XDR依据网端关联技术及IOA引擎，对网络攻击实体及终端原始行为做关联，形成攻击故事线，用户根据攻击故事线能够快速判断攻击入口、是否攻击成功、攻击成功后的恶意操作等。

钓鱼场景：准确识别攻击行为

黑客还会结合社会工程学进行钓鱼攻击，诱导用户下载运行恶意程序，从而控制用户终端电脑权限入侵内网。

深信服XDR通过网端关联引擎、IOA引擎及原始日志采集，结合威胁定性能力，准确识别钓鱼攻击行为，让用户快速关注到此类高 级威胁。

病毒攻击场景：快速定位恶意进程文件

主机感染病毒后，可以外联黑客控制的C2 服务器，由此黑客可以远程控制受害主机进行信息窃取或者内网横向攻击。

深信服XDR基于IOC引擎和网端关联，关联发起恶意外联行为的终端进程，形成攻击故事线，方便用户快速定位恶意进程文件，缩短应急处置时间。

横向攻击场景：快速判断威胁影响范围

主机被入侵后，黑客通常会利用该机器做跳板，去横向攻击内网的其他主机，此时通常会发起大量扫描、暴破、漏洞攻击的行为。

深信服XDR通过攻击故事线还原，完整呈现失陷主机内网横向攻击过的网络访问关系，方便用户快速判断内网横向攻击场景下的受影响主机资产范围。

告警研判与溯源处置

全面提效

通过XDR攻击故事线还原能力，用户一眼就能看清整个攻击事件的入侵路径、攻击结果、事件影响，更简单进行根因分析、威胁实体提取和影响面评估，真正为告警研判和事件溯源影响面评估全面提效。

告警研判效率提升70％

以往用户看到了流量检测的告警，无法直接判断是否误报、是否攻击成功，还需要到PC／服务器进一步取证确认。

通过XDR网端关联的终端举证信息，用户在攻击故事线可以一览全貌，有效定位到终端进程文件，快速识别判定，缩短应急处置时间，告警研判效率提升70％。

溯源简单、处置零遗漏

一个完整的攻击往往是多个行为组合而成，中间会产生多个威胁实体（域名、文件、进程）。以往用户只能基于单个告警做处置，往往处置不彻底，威胁实体无法全面清除。

有了深信服XDR，运营人员不再需要像以往逐个分析终端、流量设备的数据，通过攻击故事线将数据聚合，就可以串联起一个完整事件，进行影响面评估，事件处置零遗漏。

深信服XDR平台基于攻击故事线还原能力，通过端、网、云等遥测数据关联技术，构建完整的高质量场景化故事链，以清晰呈现事件的全过程，提升告警研判及溯源处置的效率。

融合IOA／IOC等检测技术，深信服XDR实现攻击路径中网端各节点行为痕迹的自动化关联分析，解决了以往未知威胁难应对、安全事件处置碎片化的难题。

总之，基于以AI为内核的「开放平台＋领先组件＋云端服务」，深信服XDR构建了安全运营的全新范式，助力每一位用户「安全领先一步」。

（推广）