近年來，CISO面臨的安全形勢(shì)可謂“內(nèi)憂外患”，對(duì)內(nèi)面臨多樣化的網(wǎng)絡(luò)接入途徑、龐大且繁雜的IT資產(chǎn)；對(duì)外面臨攻防關(guān)系、攻防手段、網(wǎng)絡(luò)攻擊的數(shù)量等呈指數(shù)級(jí)增長(zhǎng)等問題，給組織的安全防護(hù)帶來極大的挑戰(zhàn)。

而目前，大多數(shù)用戶仍然采用傳統(tǒng)“單點(diǎn)防護(hù)”的思路進(jìn)行安全建設(shè)，即部署不同廠商各自能力突出的安全設(shè)備，俗稱“異構(gòu)”模式。對(duì)有限的安全管理人員來說，這樣的模式帶來的運(yùn)營成本高昂，甚至脫離實(shí)際。

直指核心，重新理解XDR

XDR的安全建設(shè)思路，可以應(yīng)對(duì)企業(yè)設(shè)備多且散，難以系統(tǒng)運(yùn)營的問題。

Gartner對(duì)XDR產(chǎn)品的定義為平臺(tái)，通過平臺(tái)自動(dòng)收集和關(guān)聯(lián)來自多個(gè)組件的數(shù)據(jù)，配合上可擴(kuò)展的高性能存儲(chǔ)，快速索引的搜索和自動(dòng)化驅(qū)動(dòng)的響應(yīng)，使安全團(tuán)隊(duì)更加高效。

所以有人說，XDR最大的價(jià)值就在于將整個(gè)過程貫穿起來進(jìn)行整體安全防護(hù)?？梢哉f，XDR更像是一個(gè)架構(gòu)，而非一個(gè)產(chǎn)品。事實(shí)上，山石網(wǎng)科對(duì)XDR的理解正是從“云、網(wǎng)、端、X”這一框架出發(fā)的。

目前，多家主流安全廠商紛紛布局XDR賽道，有的把XDR理解成更快的威脅狩獵，有的把XDR視作新型的態(tài)勢(shì)感知。以傳統(tǒng)的SIEM和SOC來看，XDR的出現(xiàn)似乎正成為一股新的勢(shì)力。

不同于建立在一系列復(fù)雜的網(wǎng)絡(luò)采集器、轉(zhuǎn)發(fā)器、目錄管理、信息管理等之上的SIEM系統(tǒng)和更加廣泛龐大的SOC中心，山石網(wǎng)科對(duì)XDR的愿景，直指當(dāng)下態(tài)勢(shì)感知的核心能力：威脅分析與響應(yīng)。

XDR解決方案出手，安全防護(hù)又快又好

云端情報(bào)：

1. 實(shí)時(shí)同步全球最新情報(bào)；

2. 情報(bào)支持導(dǎo)入到本地；

網(wǎng)絡(luò)流量和日志：

1. NDR，威脅探針，集成高級(jí)威脅檢測(cè)引擎，IPS/AV等引擎；

2. 網(wǎng)絡(luò)安全設(shè)備，全面收集并分析日志；

3. 網(wǎng)絡(luò)安全設(shè)備，支持與平臺(tái)聯(lián)動(dòng)；

終端安全：

1. EDR，支持端點(diǎn)高級(jí)威脅檢測(cè)；

2. EDR，支持主機(jī)異常通信行為；

3. EDR，支持惡意軟件外聯(lián)檢測(cè)；

XDR平臺(tái):

1. XDR平臺(tái)，全面整合日志和流量等數(shù)據(jù)；

2. 以資產(chǎn)（IP）為核心做安全分析，并給出結(jié)論；

3. 基于分析結(jié)論，支持編寫全自動(dòng)/半自動(dòng)化劇本；

亮點(diǎn)一：層層遞進(jìn)，跨階段威脅分析

亮點(diǎn)二：頂級(jí)威脅情報(bào)庫，安全情報(bào)實(shí)時(shí)在線

亮點(diǎn)三：XDR解決方案+多開放接口= 盤活存量安全設(shè)備

1. 對(duì)接存量安全設(shè)備日志，應(yīng)收盡收。

2. 聯(lián)動(dòng)存量安全設(shè)備，Restful API和SSH，總有一款適合您。

亮點(diǎn)四：基于SOAR的自動(dòng)化預(yù)警通報(bào)處置閉環(huán)

“云、網(wǎng)、端”三方對(duì)接，協(xié)同防護(hù)

1. 構(gòu)建“云、網(wǎng)、端”XDR方案，持續(xù)“等保”合規(guī)

通過聯(lián)動(dòng)云端威脅情報(bào)/云沙箱，對(duì)全網(wǎng)日志/流量關(guān)聯(lián)分析出的威脅事件和可疑文件進(jìn)行驗(yàn)證溯源，配合終端安全管理系統(tǒng)實(shí)現(xiàn)主機(jī)側(cè)閉環(huán)管控，搭建“云、網(wǎng)、端”全局XDR方案。

2. 靈活三方對(duì)接，“盤活”用戶存量安全資產(chǎn)

山石網(wǎng)科XDR方案支持對(duì)包括防火墻、WAF、IPS等在內(nèi)的第三方安全設(shè)備進(jìn)行日志對(duì)接，進(jìn)一步盤活用戶原有的安全資產(chǎn)，共筑安全數(shù)據(jù)底座，有效保護(hù)用戶安全建設(shè)投入。

3. “APT+勒索”高危惡意行為深度檢測(cè)

山石網(wǎng)科威脅探針內(nèi)置3W條以上檢測(cè)規(guī)則，遠(yuǎn)超業(yè)內(nèi)平均水平；同時(shí)提供專項(xiàng)勒索檢測(cè)模塊，結(jié)合權(quán)威漏洞與威脅情報(bào)庫（源于全球頂級(jí)安全情報(bào)供應(yīng)商）有效檢測(cè)高危惡意行為。

4. “可視、可查、可控”助力XDR落地

可視：多維度、全方位態(tài)勢(shì)呈現(xiàn)（總覽、服務(wù)器、威脅、弱點(diǎn)、區(qū)域、終端）

可查：層層遞進(jìn)、高效分析安全事件（威脅分析檢索、SPL語言日志查詢）

可控：基于SOAR的威脅自動(dòng)化響應(yīng)處置閉環(huán)（業(yè)內(nèi)領(lǐng)先的劇本響應(yīng)）