彻底搞懂什么是XDR，看完这7个问题就够了

安全人太不容易了，看个技术名称就像是在读绕口令，他们时常要从一堆王小宝、刘小宝、孔小宝、李小宝、张小宝中间，找到宋小宝。比如这次要聊的XDR，扎堆IPS、EPP、CWPP、NDR、EDR、MDR......之中，虽是后浪，但也算新秀里的“高富帅”，偏偏很多安全人都分不清XDR到底是啥，有何功效。所以，我们决定出个XDR扫盲系列，让各位真正认识一下。

XDR

是谁，又为何而生

也许你很好奇：为什么突然就冒出来一个XDR？原因很复杂，也很简单：

一个是传统安全设备数据集成能力弱。企业虽然有了SIEM/SOC、SOAR等日志类数据分析平台，或是IDS、IPS、WAF、防火墙、EDR等单点安全设备，但前者无法理解下游检测设备告警，数据多而不准，安全误报多；后者获取的数据又有限，不同设备数据还无法紧密集成，最后变成了真实风险看不到，出现威胁防不了。

另一个是安全运营压力太大。安全人员每天都会收到来自不同安全设备的上万条威胁告警，而头疼的是，绝大多数（90%以上）都并非真实威胁，所以安全人员不是身体在处理误报的路上，就是精神在遭受误报的折磨，压力非常之大。

于是，XDR这个后浪（新的技术解决方案）就出现了。

图源自Gartner：2020终端安全技术成熟度曲线

XDR，全名Extended Detection and Response，为了与隔壁的EDR（终端检测与响应-Endpoint Detection and Response）相区分，又便于记忆，所以就以“X”换“E”，缩成了XDR。Gartner将XDR定义为一个可集成、关联来自多个安全防御、检测与响应组件的数据与告警，并将其情景化的平台。2020年，Gartner发布 《HypeCycle for Endpoint Security, 2020》，XDR首次被列入技术成熟度曲线，成为创新萌发期的新兴技术。

紧接着，在一年后的2021年，Gartner又针对XDR技术发布了《Market Guide for Extended Detection and Response》，为安全风险管理者提供战略上的指导。

表面看，Gartner这又是技术分析，又是战略分析，实际的问题，其实是甲方企业苦安全现状久矣。据Gartner的一项调查显示，80%的企业安全领导人都在寻求安全厂商整合的解决方案。安全产品创新的接力棒，历史性地交到了XDR的手上。

XDR

关键组件有哪些

Gartner不仅告诉我们“XDR是谁”，还告诉了我们“XDR长啥样”。可靠的XDR，其关键组件主要包括两部分：前端组件与后端组件。

前端组件，由生成安全遥测数据的“触角”（感应器）组成，这些触角包括但不限于EDR（终端检测与响应-Endpoint Detection and Response)、EPP(终端防护平台-Endpoint Protection Platforms)、NDR（流量检测与响应平台-Network Detection and Response)、SSE（安全服务边缘-Security Services Edge)、CWPP(云工作负载安全防护平台-Cloud Workload Protection Platforms)、蜜罐、邮件安全。

而XDR的后端组件，则是吸收所有关键位置的遥测数据、日志、威胁上下文信息，之后再对所有的数据进行关联、高级分析，从而完成威胁检测、调查、工具编排、自动化响应等工作。

XDR

关键能力有哪些

组件好比XDR的骨架，通过紧密的集成与关联，就具备了各种“走跑跳”的能力。而光有组件还不够，XDR平台需要具备关键的软实力，才能“合格上岗”。这些能力包括：

• 针对XDR厂商生态体系内安全产品的标准化数据，进行集中管理；
• 能够将安全数据和告警关联成安全事件；
• 具备调整单个安全产品状态，并将其用于事件响应或安全策略的事件集中响应能力；

除此之外，XDR还应该：

• 利用检测技术，将来自多种产品的弱威胁信息整合展现为恶意活动的强证据；
• 需要具备自动化实现更快、更有效响应的能力；
• 底层数据湖基础，可提供更大范围、低成本数据存储、分析与机器学习能力；
• 基于云的交付技术。

这里面，XDR平台的核心要求，是能够以通用的数据格式，对历史及实时安全事件数据进行集中收集。安全事件数据必须具备可扩展且高性能的存储方式，可用于随时快速索引与搜索。

XDR

能为企业带来哪些核心价值

如果企业安全团队成功拥有了XDR这项全新的技术解决方案，整个企业将享受到：

 更清晰全面的安全视野。换句话说，XDR从终端、网络、服务器等不同安全层获取数据，对整个安全环境进行360度无死角监控，分析师通过一个系统能看到不同安全层的威胁信息，如攻击发生时间、攻击路径、攻击入口、影响范围，威胁起源等与威胁事件相关丰富的上下文背景信息。

告警优化。对于安全告警这个困扰绝大多数企业的问题，XDR通过数据分析与关联能力，能够基于MITRE ATT&CK框架对相关告警分组，达到优化告警且只显示最重要告警的效果。

安全运营自动化。XDR平台自动化的价值，在于加快检测与响应节奏，减少安全流程中的手动环节，让安全团队能处理大量安全数据，并以标准化方式执行复杂的安全流程。

运营效率提升。XDR提供整个环境不同层面的整体威胁视图，而不只收集某个特定安全层数据。所以，它给到的是集中式的数据收集与响应，与整个安全环境及安全生态系统结合非常紧密。

 检测响应更及时。因为自带“检测与响应（Detection &Response）”使命，所以XDR有更高可见性、更准确告警、更自动化运营，终极目的是让企业更快对威胁进行检测与响应，发挥自身“DR”的价值。

XDR

江湖流派

XDR目前仍处于一个早期的市场，各大厂商能力盘子、发展成熟度等等各不一样。不过Gartner从实现方式出发，把XDR分为了两大流派：原生XDR与开放XDR。

图 | 微步在线

原生XDR，是一个原生的生态系统，既提供生成数据的前端解决方案，也提供后端分析与工作流的解决方案。它的关键，是作为前端传感器的终端、云、网络层数据源，及针对数据执行威胁检测、调查与响应等后端能力，均为XDR厂商自身提供，安全产品间的关联与集成更紧密丝滑，检测响应效果更直接有效。原生XDR多起家于EDR厂商，该类型与Gartner定义能力更接近。

而开放XDR，主要提供后端分析与工作流引擎。它需与企业现有安全与IT基础设施集成，关联与分析相关数据，最后实现对自动化以及威胁检测、调查、取证与响应流程的优化，提升安全事件的响应速度。面对复杂与脱节的安全产品堆栈，XDR充当了跨多产品的单一控制台，做到安全事件的编排与自动化，避免跨多产品手动方式推进工作流。该类别以SIEM/SOC、SOAR起家的厂商为代表。

XDR

如何部署

把钱花出去不难，但面对背上的KPI，手里用习惯了的安全产品，肩上挑的安全担子，花钱就很难而且很考验勇气了。

在部署XDR时，我们建议分阶段部署，从单一触点（如EDR）为起点，用XDR组件逐渐替换已有单点工具。从理论上来说，相比原本零散的工具叠加，XDR方式的组件集成，实现的效果是1+1＞2的。也就是说，可靠的XDR产品长期价值远超于企业自主最佳单品工具组合所能实现的效果。

另外，在规划部署XDR时也需考虑一些小的细节。比如，收集多少日志及遥测数据，存储多久，从而确定XDR平台所需的存储空间及将数据发送到XDR数据收集代理所需的跨LAN、WAN和云连接的带宽等。XDR也需要足够时间确定数据流行为基线，准确检测安全异常，如果基线时间缩短，会出现大量误报以及错误研判的安全事件。

XDR

哪些企业适合

虽然目前未出现关于XDR交付的最佳实践，但根据Gartner定义及XDR的实现效果与必备能力，XDR产品更适合没有资源（员工或能力）将最好的安全产品组合集成至SIEM/SOC、SOAR产品中，或者根本未使用SIEM/SOC、SOAR产品的中小型企业。

图 | 微步在线

不过，这也并不是说XDR对大型企业就没有价值，相反大型企业中基于更加规模化、自动化、完整的安全运营，XDR发挥的价值会更大，只是大型企业在部署XDR时，由于自身拥有的大量分布式安全控制和运营技术，部署路径相对难度会更大一些。

XDR是进化，但不是革命。可靠的XDR不仅来自某个供应商的多个单点解决方案，它还能用更有效、可替代的工作方式取代一些现有安全操作工具，解决安全事件响应、安全运营能力与效率的问题。

 说完了什么样的平台是XDR，我们下回准备聊聊哪些其实不是XDR，欢迎锁定，以防错过。

免责声明：《2020终端安全技术成熟度曲线》图形由 Gartner, Inc. 作为大型研究文档的一部分发布，应在整个文档的上下文中进行评估。Gartner 文档可根据要求从 [https://www.gartner.com/doc/3987589] 获得。

Gartner 不认可其研究出版物中描述的任何供应商、产品或服务，也不建议技术用户仅选择具有最高评级或其他名称的供应商。Gartner 研究出版物包含 Gartner 研究机构的意见，不应被解释为事实陈述。Gartner 不承担与本研究相关的所有明示或暗示的保证，包括任何适销性或适用于特定目的的保证。

· END ·