XDR深度检测服务，牛X在哪里？

随着攻击者使用更复杂的战术、技术和步骤（TTP）来绕过传统的安全防御措施，组织机构越来越需要一个统一的、主动的安全措施来保护整体技术资产，但也面临一个新的问题：过多安全设备产生的大量警报让他们产生了警报疲劳；安全设备之间数据集成太少，无法进行关联分析，从而导致无法对安全事件做出及时响应。

安全工具过多产生的困扰

在这种情况下，EDR、SIEM、SOAR、XDR等技术应运而生，尤其是XDR的热度持续上升。2020年，Gartner将XDR命名为第一大安全趋势，并表示XDR解决方案将“提高检测准确性，并提高安全运营效率和生产率。”那XDR到底是什么，它们之间又有什么区别？

文末可扫码下载网安报告《XDR 是安全运营的最佳解决方案吗？》

什么是XDR？

XDR是一个统一的安全事件检测和响应平台，可以自动化地从多个安全软件收集数据并进行关联分析。XDR需要不断更新有关攻击战术和技术的情报，还需要进行数据标准化和其他形式的预处理来支持数据关联分析。这通常需要大量基于SaaS的数据存储，最好是能够连接未定义事件的图数据库。XDR可以将面临威胁的多种安全组件（例如EPP/EDR、防火墙、NIPS、SEG、CASB和SWG等）整合到统一的安全运营系统中来。

XDR通过将多个安全产品整合到一个统一的安全事件检测和响应平台，从而为用户提供更高价值。检测高级威胁需要的不仅仅是单点解决方案的堆叠，XDR可以通过关联分析，提供更优质的上下文信息，从而优化事件响应。XDR提供的高级威胁检测和响应能力包括：

• 将大量警报转换为少数几个需要人工调查的安全事件
• 提供集成的事件响应方案，包括来自所有安全组件的上下文，以快速解决警报
• 对基础设施控制点做出响应，包括网络和端点
• 为重复性任务提供自动化功能
• 通过提供跨安全组件的通用管理和工作流，减少培训，并增加对Tier 1分析师的支持
• 提供高质量的检测内容，几乎不需要调整

XDR改进了安全人员对环境中的攻击做出响应时的关键功能：

• 检测：通过将端点监控数据与各种渠道收集和分析的安全事件相结合，识别更多、更有意义的威胁。
• 调查：通过人机协作将所有相关威胁信息关联起来，并应用安全态势相关的上下文减少噪声信号，找到根本原因。
• 建议：为安全分析师提供规范性建议，以便进行深入调查，并提供相关的响应行动，有效遏制或缓解检测到的风险和威胁。
• 威胁狩猎：在包含多个供应商的监控数据存储库中进行通用查询，搜索可疑威胁行为，让威胁猎人根据建议进行定位并采取行动。

XDR与EDR、SIEM、SOAR的区别

看到这里，很多人的第一反应可能是：XDR与EDR（终端检测与响应）、SIEM（安全信息和事件管理）、SOAR（安全编排自动化和响应）的功能非常相似，比如都有异构数据采集、数据标准化、关联分析，而且通常都会采用大数据分析技术，还可能都有剧本编排与自动化响应技术。那它们之间有什么区别呢？

• XDR是EDR的升级版

XDR是EDR的自然演变。EDR仅仅解决了终端上的检测响应，但是其他层面解决得较少，但XDR 将检测范围扩大到终端之外，以提供跨终端、网络、服务器、云工作负载等的检测、分析和响应。「XDR」中的「X」就指为了提供更广泛、更可靠的检测及回应所能涵盖的所有信息来源。

这种解决方案可以打破壁垒，将安全产品天然融合在一起，产生1+1>2的效果，自动收集多个安全向量的数据并进行关联分析，促进更快的攻击检测，以便安全人员可以在攻击范围扩大之前快速做出响应。通过集成多个不同产品和平台，并预先调整好检测机制，XDR有助于提高安全人员进行检测、取证、分析和响应的效率。

• XDR是SIEM的补充版

XDR与SIEM最大的区别在于集成模式的部署以及目的上。XDR自带一个统一界面以供直接集成相关的安全产品，而SIEM需要一些单点产品与其进行定制的对接。XDR更多关注与威胁的检测和响应，而SIEM更多在于报警的集中处理和存储以及合规的考虑。

另外，SIEM并没有建立响应机制，它只是一个检测工具，就像没有连接洒水器的烟火报警器。而XDR更具灵活性，能够借助机器学习和人工智能技术处理丰富而深入的安全数据，并做出即时响应。但XDR不会替代SIEM，只会对其进行增强，以充分利用SIEM产生的安全日志和通知。

• XDR是SOAR的精简版

SOAR系统从许多来源获取警报，然后触发自动化工作流和流程，运行可缓解问题的安全任务。而XDR旨在整个组织域内提供智能、自动化且集成的安全性。它不仅能做到对威胁的检测和响应，还能通过平台内所有系统或组件间的信息共享，实现威胁预防。

此外，SOAR需要一个高度成熟的安全运营中心实现和维护合作伙伴的集成。而XDR强调对单一厂商的安全产品集成，并且在出厂前就将这些产品打包在一起，提供了更易于部署和使用的操作过程。所以，XDR可以看作“SOAR-lite”（精简版SOAR），即一个简单、直观、零代码的解决方案，提供从XDR平台到连接的安全工具的操作能力。

简而言之，XDR是多个安全工具的集大成者。它通过技术集成和高级分析来检测攻击者所采取的每一步动作。XDR的基础是铁甲式的威胁防范，它将安全控制与安全运营紧密结合在一起，形成一个集成解决方案，可实时或接近实时地自动阻断99%以上的威胁，优于当下企业采用多个单独安全工具组合的方式。

XDR深度检测分析

目前像Cisco、Palo Alto Networks、Broadcom（Symantec）、Microsoft、VMware这样的重量级企业都在提供某种形式的XDR。同样，像CrowdStrike、Cybereason和SentinelOne这样的EDR厂商，也开始与其他伙伴合作渗透XDR市场。在中国，也有像青藤这类创新型安全厂商涉足XDR领域。

目前，青藤提供XDR威胁检测分析服务，由安全专家协助客户远程或现场通过主机结合流量设备的方式分析产品，发现Web攻击行为、APT攻击、Webshell上传等各类高级威胁事件，结合最新威胁情报和业务应用情况，发现客户环境内的失陷主机、异常主机、违规操作等威胁行为活动，确认攻击属性、受影响范围，进行溯源分析，并给出专业的处置解决建议。

青藤XDR分析服务框架

青藤XDR威胁检测分析服务旨在基于ATT&CK框架，通过青藤主机安全防护产品、流量威胁检测产品和专业攻防分析服务，充分发挥客户已投资的安全产品价值，最大化地提升客户现有检测能力，为客户构建主动防御能力！

如果您有关于主机安全方面的任何问题，欢迎致电400-188-9287转1，或直接扫描下方二维码，领取《XDR 是安全运营的最佳解决方案吗？》。您也可通过青藤云安全官网（www.qingteng.cn），获取更多网络安全报告。点击“阅读原文”还可免费申请试用青藤的主机安全产品~