深度技術解析：深信服XDR如何實現攻擊故事線還原？

近期，深信服XDR捕獲了“銀狐”釣魚攻擊事件，在某科技企業真實環境中實現精準檢出。

這是一場與駭客的時間爭奪戰。

在駭客採取下一步行動之前，如何高效溯源攻擊入口？如何及時封堵外聯IP？

這也是一場釣魚病毒的剿滅戰。

如何徹底清除威脅實體？如何零遺漏處置事件？

以往用戶基於流量側告警，無法直接判斷是否誤報、是否攻擊成功，還需要到PC／伺服器進一步取證確認，同時基於單個告警做處置，往往無法全面清除威脅實體。

好在，通過深信服XDR攻擊故事線還原能力，整個攻擊過程一覽無余：

駭客以微信為釣魚攻擊入口，引導員工下載壓縮包文件，並運作了惡意釣魚程式。該惡意程式創建了一個新的惡意程式，並外聯了惡意的C2 IP地址。

基於攻擊故事線，安全運營人員一眼就能看清整個攻擊事件的入侵路徑、攻擊結果、事件影響，溯源調查效率提升70％。

通過聯動統一終端安全管理平臺aES，快速隔離處置主機惡意文件、封禁外聯IP，徹底清除威脅實體，深信服XDR打贏了這場時間爭奪戰與病毒剿滅戰。

可以看到，當釣魚攻擊事件發生，要實現“告警研判精準、溯源提效、處置零遺漏”，這一切都離不開XDR攻擊故事線還原能力。

攻擊故事線還原關鍵技術

作為國內率先推出攻擊故事線還原能力的安全平臺，深信服XDR主要依靠網端關聯、網網關聯和終端攻擊鏈還原技術，關聯文件操作行為、網路連接行為、漏洞攻擊行為、攻擊類型及階段行為，並進行詳細的攻擊資訊舉證。

網端關聯

根據網端發生“相同事情”的關聯性，網端關聯分為強關聯、邏輯關聯和弱關聯，關聯強度越強，泛化能力就越弱。

深信服XDR網端關聯引擎，可以自動高效地串聯起多維度安全資訊，不僅提高對未知威脅、隱蔽攻擊的檢出率，還通過充分的溯源舉證，大幅提高安全事件的準確度，幫助安全團隊能做判斷，敢做判斷，高效處置。

值得強調的是，這一切都是自動化完成的。

網網關聯

以往我們通過單包請求數據與響應數據綜合分析是否攻擊成功，但是對於一些跨流場景的攻擊成功無法識別。網網關聯正是解決單次攻擊跨越多個數據流，導致檢測不準確的情況。

比如針對Log4j漏洞利用的攻擊，XDR可通過“漏洞攻擊－語法還原－提取外聯地址－上下文關聯分析－遠端載入惡意樣板－智慧AI引擎查殺”進行關聯與攻擊資訊舉證。

終端攻擊鏈還原

終端攻擊鏈還原離不開IOA行為引擎——基於先進的數據編織（Data Fabric）框架，以及多事件複雜關聯規則匹配演算法，依靠泛化行為規則提高未知高級威脅攻擊檢測能力，能關聯複雜的、時間跨度大的攻擊行為，精準、詳細、真實地描繪攻擊者行為，最終在進程層面形成可視化攻擊鏈。

攻擊故事線還原主要覆蓋場景

深信服XDR攻擊故事線還原主要覆蓋入侵、釣魚、病毒攻擊和橫向攻擊等多場景，以下為典型示例。

入侵場景：快速判斷攻擊入口／攻擊成功

駭客通常利用高危漏洞攻擊Web伺服器，進而獲取許可權入侵內網，並通過上傳Webshell或反彈Shell，下載惡意文件、創建惡意服務／進程、搭建隧道代理等，實現許可權維持。

深信服XDR依據網端關聯技術及IOA引擎，對網路攻擊實體及終端原始行為做關聯，形成攻擊故事線，用戶根據攻擊故事線能夠快速判斷攻擊入口、是否攻擊成功、攻擊成功後的惡意操作等。

釣魚場景：精準識別攻擊行為

駭客還會結合社會工程學進行釣魚攻擊，誘導用戶下載運作惡意程式，從而控制用戶終端電腦許可權入侵內網。

深信服XDR通過網端關聯引擎、IOA引擎及原始日誌採集，結合威脅定性能力，精準識別釣魚攻擊行為，讓用戶快速關注到此類高級威脅。

病毒攻擊場景：快速定位惡意進程文件

主機感染病毒後，可以外聯駭客控制的C2伺服器，由此駭客可以遠端控制受害主機進行資訊竊取或者內網橫向攻擊。

深信服XDR基於IOC引擎和網端關聯，關聯發起惡意外聯行為的終端進程，形成攻擊故事線，方便用戶快速定位惡意進程文件，縮短應急處置時間。

橫向攻擊場景：快速判斷威脅影響範圍

主機被入侵後，駭客通常會利用該機器做跳板，去橫向攻擊內網的其他主機，此時通常會發起大量掃描、暴破、漏洞攻擊的行為。

深信服XDR通過攻擊故事線還原，完整呈現失陷主機內網橫向攻擊過的網路訪問關係，方便用戶快速判斷內網橫向攻擊場景下的受影響主機資産範圍。

告警研判與溯源處置

全面提效

通過XDR攻擊故事線還原能力，用戶一眼就能看清整個攻擊事件的入侵路徑、攻擊結果、事件影響，更簡單進行根因分析、威脅實體提取和影響面評估，真正為告警研判和事件溯源影響面評估全面提效。

告警研判效率提升70％

以往用戶看到了流量檢測的告警，無法直接判斷是否誤報、是否攻擊成功，還需要到PC／伺服器進一步取證確認。

通過XDR網端關聯的終端舉證資訊，用戶在攻擊故事線可以一覽全貌，高效定位到終端進程文件，快速識別判定，縮短應急處置時間，告警研判效率提升70％。

溯源簡單、處置零遺漏

一個完整的攻擊往往是多個行為組合而成，中間會産生多個威脅實體（域名、文件、進程）。以往用戶只能基於單個告警做處置，往往處置不徹底，威脅實體無法全面清除。

有了深信服XDR，運營人員不再需要像以往逐個分析終端、流量設備的數據，通過攻擊故事線將數據聚合，就可以串聯起一個完整事件，進行影響面評估，事件處置零遺漏。

深信服XDR平臺基於攻擊故事線還原能力，通過端、網、雲等遙測數據關聯技術，構建完整的高品質場景化故事鏈，以清晰呈現事件的全過程，提升告警研判及溯源處置的效率。

融合IOA／IOC等檢測技術，深信服XDR實現攻擊路徑中網端各節點行為痕跡的自動化關聯分析，解決了以往未知威脅難應對、安全事件處置碎片化的難題。

總之，基於以AI為內核的「開放平臺＋領先組件＋雲端服務」，深信服XDR構建了安全運營的全新範式，助力每一位用戶「安全領先一步」。