近年來，CISO面臨的安全形勢可謂“內(nèi)憂外患”，對內(nèi)面臨多樣化的網(wǎng)絡(luò)接入途徑、龐大且繁雜的IT資產(chǎn)；對外面臨攻防關(guān)系、攻防手段、網(wǎng)絡(luò)攻擊的數(shù)量等呈指數(shù)級增長等問題，給組織的安全防護帶來極大的挑戰(zhàn)。

而目前，大多數(shù)用戶仍然采用傳統(tǒng)“單點防護”的思路進行安全建設(shè)，即部署不同廠商各自能力突出的安全設(shè)備，俗稱“異構(gòu)”模式。對有限的安全管理人員來說，這樣的模式帶來的運營成本高昂，甚至脫離實際。

直指核心，重新理解XDR

XDR的安全建設(shè)思路，可以應(yīng)對企業(yè)設(shè)備多且散，難以系統(tǒng)運營的問題。

Gartner對XDR產(chǎn)品的定義為平臺，通過平臺自動收集和關(guān)聯(lián)來自多個組件的數(shù)據(jù)，配合上可擴展的高性能存儲，快速索引的搜索和自動化驅(qū)動的響應(yīng)，使安全團隊更加高效。

所以有人說，XDR最大的價值就在于將整個過程貫穿起來進行整體安全防護。可以說，XDR更像是一個架構(gòu)，而非一個產(chǎn)品。事實上，山石網(wǎng)科對XDR的理解正是從“云、網(wǎng)、端、X”這一框架出發(fā)的。

目前，多家主流安全廠商紛紛布局XDR賽道，有的把XDR理解成更快的威脅狩獵，有的把XDR視作新型的態(tài)勢感知。以傳統(tǒng)的SIEM和SOC來看，XDR的出現(xiàn)似乎正成為一股新的勢力。

不同于建立在一系列復(fù)雜的網(wǎng)絡(luò)采集器、轉(zhuǎn)發(fā)器、目錄管理、信息管理等之上的SIEM系統(tǒng)和更加廣泛龐大的SOC中心，山石網(wǎng)科對XDR的愿景，直指當(dāng)下態(tài)勢感知的核心能力：威脅分析與響應(yīng)。

XDR解決方案出手，安全防護又快又好

云端情報：

1. 實時同步全球最新情報；

2. 情報支持導(dǎo)入到本地；

網(wǎng)絡(luò)流量和日志：

1. NDR，威脅探針，集成高級威脅檢測引擎，IPS/AV等引擎；

2. 網(wǎng)絡(luò)安全設(shè)備，全面收集并分析日志；

3. 網(wǎng)絡(luò)安全設(shè)備，支持與平臺聯(lián)動；

終端安全：

1. EDR，支持端點高級威脅檢測；

2. EDR，支持主機異常通信行為；

3. EDR，支持惡意軟件外聯(lián)檢測；

XDR平臺:

1. XDR平臺，全面整合日志和流量等數(shù)據(jù)；

2. 以資產(chǎn)（IP）為核心做安全分析，并給出結(jié)論；

3. 基于分析結(jié)論，支持編寫全自動/半自動化劇本；

亮點一：層層遞進，跨階段威脅分析

亮點二：頂級威脅情報庫，安全情報實時在線

亮點三：XDR解決方案+多開放接口= 盤活存量安全設(shè)備

1. 對接存量安全設(shè)備日志，應(yīng)收盡收。

2. 聯(lián)動存量安全設(shè)備，Restful API和SSH，總有一款適合您。

亮點四：基于SOAR的自動化預(yù)警通報處置閉環(huán)

“云、網(wǎng)、端”三方對接，協(xié)同防護

1. 構(gòu)建“云、網(wǎng)、端”XDR方案，持續(xù)“等保”合規(guī)

通過聯(lián)動云端威脅情報/云沙箱，對全網(wǎng)日志/流量關(guān)聯(lián)分析出的威脅事件和可疑文件進行驗證溯源，配合終端安全管理系統(tǒng)實現(xiàn)主機側(cè)閉環(huán)管控，搭建“云、網(wǎng)、端”全局XDR方案。

2. 靈活三方對接，“盤活”用戶存量安全資產(chǎn)

山石網(wǎng)科XDR方案支持對包括防火墻、WAF、IPS等在內(nèi)的第三方安全設(shè)備進行日志對接，進一步盤活用戶原有的安全資產(chǎn)，共筑安全數(shù)據(jù)底座，有效保護用戶安全建設(shè)投入。

3. “APT+勒索”高危惡意行為深度檢測

山石網(wǎng)科威脅探針內(nèi)置3W條以上檢測規(guī)則，遠(yuǎn)超業(yè)內(nèi)平均水平；同時提供專項勒索檢測模塊，結(jié)合權(quán)威漏洞與威脅情報庫（源于全球頂級安全情報供應(yīng)商）有效檢測高危惡意行為。

4. “可視、可查、可控”助力XDR落地

可視：多維度、全方位態(tài)勢呈現(xiàn)（總覽、服務(wù)器、威脅、弱點、區(qū)域、終端）

可查：層層遞進、高效分析安全事件（威脅分析檢索、SPL語言日志查詢）

可控：基于SOAR的威脅自動化響應(yīng)處置閉環(huán)（業(yè)內(nèi)領(lǐng)先的劇本響應(yīng)）