XDR深度檢測服務，牛X在哪里？

隨著攻擊者使用更復雜的戰術、技術和步驟（TTP）來繞過傳統的安全防御措施，組織機構越來越需要一個統一的、主動的安全措施來保護整體技術資產，但也面臨一個新的問題：過多安全設備產生的大量警報讓他們產生了警報疲勞；安全設備之間數據集成太少，無法進行關聯分析，從而導致無法對安全事件做出及時響應。

安全工具過多產生的困擾

在這種情況下，EDR、SIEM、SOAR、XDR等技術應運而生，尤其是XDR的熱度持續上升。2020年，Gartner將XDR命名為第一大安全趨勢，并表示XDR解決方案將“提高檢測準確性，并提高安全運營效率和生產率。”那XDR到底是什么，它們之間又有什么區別？

文末可掃碼下載網安報告《XDR 是安全運營的最佳解決方案嗎？》

什么是XDR？

XDR是一個統一的安全事件檢測和響應平臺，可以自動化地從多個安全軟件收集數據并進行關聯分析。XDR需要不斷更新有關攻擊戰術和技術的情報，還需要進行數據標準化和其他形式的預處理來支持數據關聯分析。這通常需要大量基于SaaS的數據存儲，最好是能夠連接未定義事件的圖數據庫。XDR可以將面臨威脅的多種安全組件（例如EPP/EDR、防火墻、NIPS、SEG、CASB和SWG等）整合到統一的安全運營系統中來。

XDR通過將多個安全產品整合到一個統一的安全事件檢測和響應平臺，從而為用戶提供更高價值。檢測高級威脅需要的不僅僅是單點解決方案的堆疊，XDR可以通過關聯分析，提供更優質的上下文信息，從而優化事件響應。XDR提供的高級威脅檢測和響應能力包括：

• 將大量警報轉換為少數幾個需要人工調查的安全事件
• 提供集成的事件響應方案，包括來自所有安全組件的上下文，以快速解決警報
• 對基礎設施控制點做出響應，包括網絡和端點
• 為重復性任務提供自動化功能
• 通過提供跨安全組件的通用管理和工作流，減少培訓，并增加對Tier 1分析師的支持
• 提供高質量的檢測內容，幾乎不需要調整

XDR改進了安全人員對環境中的攻擊做出響應時的關鍵功能：

• 檢測：通過將端點監控數據與各種渠道收集和分析的安全事件相結合，識別更多、更有意義的威脅。
• 調查：通過人機協作將所有相關威脅信息關聯起來，并應用安全態勢相關的上下文減少噪聲信號，找到根本原因。
• 建議：為安全分析師提供規范性建議，以便進行深入調查，并提供相關的響應行動，有效遏制或緩解檢測到的風險和威脅。
• 威脅狩獵：在包含多個供應商的監控數據存儲庫中進行通用查詢，搜索可疑威脅行為，讓威脅獵人根據建議進行定位并采取行動。

XDR與EDR、SIEM、SOAR的區別

看到這里，很多人的第一反應可能是：XDR與EDR（終端檢測與響應）、SIEM（安全信息和事件管理）、SOAR（安全編排自動化和響應）的功能非常相似，比如都有異構數據采集、數據標準化、關聯分析，而且通常都會采用大數據分析技術，還可能都有劇本編排與自動化響應技術。那它們之間有什么區別呢？

• XDR是EDR的升級版

XDR是EDR的自然演變。EDR僅僅解決了終端上的檢測響應，但是其他層面解決得較少，但XDR 將檢測范圍擴大到終端之外，以提供跨終端、網絡、服務器、云工作負載等的檢測、分析和響應。「XDR」中的「X」就指為了提供更廣泛、更可靠的檢測及回應所能涵蓋的所有信息來源。

這種解決方案可以打破壁壘，將安全產品天然融合在一起，產生1+1>2的效果，自動收集多個安全向量的數據并進行關聯分析，促進更快的攻擊檢測，以便安全人員可以在攻擊范圍擴大之前快速做出響應。通過集成多個不同產品和平臺，并預先調整好檢測機制，XDR有助于提高安全人員進行檢測、取證、分析和響應的效率。

• XDR是SIEM的補充版

XDR與SIEM最大的區別在于集成模式的部署以及目的上。XDR自帶一個統一界面以供直接集成相關的安全產品，而SIEM需要一些單點產品與其進行定制的對接。XDR更多關注與威脅的檢測和響應，而SIEM更多在于報警的集中處理和存儲以及合規的考慮。

另外，SIEM并沒有建立響應機制，它只是一個檢測工具，就像沒有連接灑水器的煙火報警器。而XDR更具靈活性，能夠借助機器學習和人工智能技術處理豐富而深入的安全數據，并做出即時響應。但XDR不會替代SIEM，只會對其進行增強，以充分利用SIEM產生的安全日志和通知。

• XDR是SOAR的精簡版

SOAR系統從許多來源獲取警報，然后觸發自動化工作流和流程，運行可緩解問題的安全任務。而XDR旨在整個組織域內提供智能、自動化且集成的安全性。它不僅能做到對威脅的檢測和響應，還能通過平臺內所有系統或組件間的信息共享，實現威脅預防。

此外，SOAR需要一個高度成熟的安全運營中心實現和維護合作伙伴的集成。而XDR強調對單一廠商的安全產品集成，并且在出廠前就將這些產品打包在一起，提供了更易于部署和使用的操作過程。所以，XDR可以看作“SOAR-lite”（精簡版SOAR），即一個簡單、直觀、零代碼的解決方案，提供從XDR平臺到連接的安全工具的操作能力。

簡而言之，XDR是多個安全工具的集大成者。它通過技術集成和高級分析來檢測攻擊者所采取的每一步動作。XDR的基礎是鐵甲式的威脅防范，它將安全控制與安全運營緊密結合在一起，形成一個集成解決方案，可實時或接近實時地自動阻斷99%以上的威脅，優于當下企業采用多個單獨安全工具組合的方式。

XDR深度檢測分析

目前像Cisco、Palo Alto Networks、Broadcom（Symantec）、Microsoft、VMware這樣的重量級企業都在提供某種形式的XDR。同樣，像CrowdStrike、Cybereason和SentinelOne這樣的EDR廠商，也開始與其他伙伴合作滲透XDR市場。在中國，也有像青藤這類創新型安全廠商涉足XDR領域。

目前，青藤提供XDR威脅檢測分析服務，由安全專家協助客戶遠程或現場通過主機結合流量設備的方式分析產品，發現Web攻擊行為、APT攻擊、Webshell上傳等各類高級威脅事件，結合最新威脅情報和業務應用情況，發現客戶環境內的失陷主機、異常主機、違規操作等威脅行為活動，確認攻擊屬性、受影響范圍，進行溯源分析，并給出專業的處置解決建議。

青藤XDR分析服務框架

青藤XDR威脅檢測分析服務旨在基于ATT&CK框架，通過青藤主機安全防護產品、流量威脅檢測產品和專業攻防分析服務，充分發揮客戶已投資的安全產品價值，最大化地提升客戶現有檢測能力，為客戶構建主動防御能力！

如果您有關于主機安全方面的任何問題，歡迎致電400-188-9287轉1，或直接掃描下方二維碼，領取《XDR 是安全運營的最佳解決方案嗎？》。您也可通過青藤云安全官網（www.qingteng.cn），獲取更多網絡安全報告。點擊“閱讀原文”還可免費申請試用青藤的主機安全產品~