高昂的沟通成本和滞后的时效性，让乙厂安全团队萌生了自建阻断器的想法。

尤其是在攻防演习期间，IP封禁更是阻断红队网络攻击最直接也是常用的手段之一，应用非常频繁。但每次下发封禁策略后，接到业务团队打来的电话，可不是什么好兆头。

“我们也害怕会影响到业务。”在接触到微步OneSIG后，K哥团队表现得十分谨慎，并没有一开始就开启拦截功能，而是在仅检测的状态运行，并在此过程中验证告警准确率。

随着时间一天天过去，OneSIG却自始至终都没产生什么误报，K哥这才放下心来将拦截功能同步开启。

“有了OneSIG进行自动阻断后，为安全团队抢得了更多的处置时间。”K哥说，根据测算，OneSIG能够以0.03%的误报率，阻断90%以上的网络攻击。

事实上，K哥对于OneSIG的检测能力，一直有着很高的期待：相比传统IPS，OneSIG集成了微步高精准威胁情报和漏洞情报，并且使用了威胁情报和入侵防护双检测引擎，在其所测试的同类型产品里，是少有的能够对入站、出站双向流量进行自动化检测与拦截的威胁防御产品。

这一点非常重要。

由于可以通过API调用与SOC进行联动封禁，整个过程基本上以半自动化甚至全自动化方式进行，并不需要太多人工的参与。

除通过API外，基于标准化的Syslog系统日志，是实现联动封禁的另外一种重要姿势。

API联动的好处有很多，包括灵活性强、实时性好、易于扩展等等，但适用场景相对有限；Syslog则很好了弥补了这方面的不足，能够很方便的在不同设备之间传输日志信息。

“最开始是只有API的，但用着用着发现某些场景效果不太好，后来提出需求，微步很快就加上了（Syslog）。”K哥说，“目前OneSIG在边界是我们非常重要的防御产品，而且非常开放，可以与NDR等检测产品联动，逐渐形成自动防御的体系。”

每逢遇到搞不定的事情，K哥总是第一时间联系微步进行改进。一年多来，OneSIG的功能有了很大程度的完善，除上述部分提到的新增Syslog联动阻断方式外，还包括：

1. 对阻断功能进行优化，可在混合网络环境中旁路阻断恶意DNS请求；

2. 新增告警主机页面，能够更加清晰地掌握内网失陷主机情况；

3. 防守展示大屏目前仍在规划中，预计很快就会落实。

在他看来，边界自动化防御是很重要的，只不过无论是IPS还是所谓的下一代防火墙，做得都不够好。

从这个角度来说，OneSIG可以把自己运营的很好。

↓↓↓

点此电话咨询

---