XDR是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法，結(jié)合了安全信息和事件管理（SIEM）、安全編排自動化和響應(yīng)（SOAR）、端點檢測與響應(yīng)（EDR）以及網(wǎng)絡(luò)流量分析（NTA），集中安全數(shù)據(jù)和事件響應(yīng)。

XDR提供了一種攻擊的檢測模型，橫跨各種端點、網(wǎng)絡(luò)、SaaS應(yīng)用、云基礎(chǔ)設(shè)施等各種可以處理的網(wǎng)絡(luò)資源，為所有的網(wǎng)絡(luò)層和應(yīng)用程序堆踐提供可見性，同時具備高級檢測、自動關(guān)聯(lián)和機器學(xué)習(xí)能力，可以快速發(fā)現(xiàn)事件，響應(yīng)并阻止現(xiàn)有威脅和緊急威脅。

本文介紹了2022 年值得關(guān)注的XDR解決方案。

Cisco

思科的XDR解決方案Cisco SecureX是一款云原生內(nèi)置平臺，它能將 Cisco Secure 產(chǎn)品組合與客戶基礎(chǔ)設(shè)施緊密相連。它以集成、開放的設(shè)計簡化了安全防護工作，在單一界面中提供全面的可視性，并通過自動化工作流最大程度提高運維效率。從根本上減少威脅駐留時間和人工操作，幫助企業(yè)抵御攻擊。

Cisco SecureX的功能包括：

• 通過跨產(chǎn)品集成提供簡化的體驗。
• 通過跨產(chǎn)品分析提供統(tǒng)一的可視性。
• 通過事件響應(yīng)能力提高運營效率。

Cisco SecureX提供了更好的技術(shù)集成和更廣泛的使用案例。SecureX跨電子郵件、端點、服務(wù)器、云工作負(fù)載和網(wǎng)絡(luò)收集并關(guān)聯(lián)數(shù)據(jù)，從而實現(xiàn)對高級威脅的可見性。然后對威脅進行分析、排序、追蹤和修復(fù)，以防止數(shù)據(jù)丟失和安全漏洞。

Crowdstrike

CrowdStrike Falcon是一種基于云的擴展檢測和響應(yīng)解決方案。它使用 AI 和行為分析來提供針對威脅的實時保護。CrowdStrike Falcon 有一個基于云的管理控制臺，可以輕松部署和管理。不需要本地設(shè)備。

CrowdStrike Falcon主要功能：

• 與 MITRE 框架保持一致：CrowdStrike Falcon 是使用MITRE對抗性戰(zhàn)術(shù)、技術(shù)和常識 (ATT&CK) 方法構(gòu)建的。這確保了它能夠適應(yīng)并抵御新威脅的出現(xiàn)。該平臺連續(xù)兩年被評為 Gartner 端點保護平臺魔力象限的領(lǐng)導(dǎo)者。
• 單代理設(shè)計：CrowdStrike Falcon 的單代理設(shè)計確保不需要單獨的端點代理、服務(wù)器或云訂閱。
• 高級無簽名保護：CrowdStrike Falcon 的高級威脅防御功能基于機器學(xué)習(xí)和行為分析。這使它能夠在不依賴簽名的情況下針對不斷變化的未知威脅提供實時保護。
• 適用于所有工作負(fù)載：CrowdStrike Falcon 提供跨 Windows、macOS 和 Linux 操作系統(tǒng)的完整端點保護；包括虛擬機和云工作負(fù)載。企業(yè)無需投資任何本地設(shè)備。
• 設(shè)備和防火墻控制：CrowdStrike Falcon 在 Falcon 控制臺中提供精細(xì)的設(shè)備和防火墻控制，允許管理員管理整個網(wǎng)絡(luò)中的設(shè)備和防火墻。
• API 集成：CrowdStrike Falcon 可以使用其強大的應(yīng)用程序編程接口 (API) 與其他安全工具和服務(wù)集成。組織可以輕松地將威脅防護集成到更廣泛的安全策略中。

SentinelOne

SentinelOne Singularity是一款功能強大的 EDR 解決方案，可針對各種威脅提供實時保護。它使用機器學(xué)習(xí)和行為分析來檢測和阻止已知威脅和零日威脅。

SentinelOne Singularity主要功能：

• MITRE ATT&CK Framework：在MITRE的所有測試和場景中，SentinelOne 都優(yōu)于大多數(shù) XDR 解決方案。
• Storyline Feature Threat Hunting：SentinelOne 中的 Storyline 功能創(chuàng)建了所有端點活動的時間線，允許用戶搜索異常行為、了解上下文并確定下一步要采取的行動的優(yōu)先級。此功能使 SentinelOne 成為威脅搜尋的強大工具，領(lǐng)先一步為安全分析師提供他們所需的洞察力。
• 用于端點管理的單一代理：SentinelOne 使用可部署在所有設(shè)備類型和操作系統(tǒng)上的單一輕量級代理。此功能消除了管理多個代理和配置流程的需要，從而節(jié)省了寶貴的時間和資源。
• 適用于多個操作系統(tǒng)：SentinelOne 可以保護在 Windows、macOS 和 Linux 操作系統(tǒng)上運行的任何設(shè)備。此外，它可以與整個企業(yè)的其他安全工具無縫集成，以提供針對所有威脅的全面保護。
• 設(shè)備和防火墻控制：SentinelOne 為管理員提供了對設(shè)備訪問和網(wǎng)絡(luò)防火墻的細(xì)粒度控制。此功能使他們能夠從單個控制臺輕松管理整個企業(yè)網(wǎng)絡(luò)。
• RESTful API：SentinelOne 提供豐富的 RESTful API，可以與其他服務(wù)和工具無縫集成。這使企業(yè)能夠在其更廣泛的安全堆棧中利用 SentinelOne 的強大功能。

IBM

IBM Security 的QRadar XDR提供了市場上最全面、最開放的威脅檢測和響應(yīng)解決方案之一。AI 驅(qū)動的調(diào)查使安全分析師能夠快速調(diào)查已識別事件的原因和范圍，以提高運營效率。QRadar XDR 還利用 X-Force Threat Intelligence 平臺共享安全研究、匯總情報并與同行協(xié)作，以提高準(zhǔn)確性和敏捷性，抵御不斷變化的網(wǎng)絡(luò)犯罪活動。

QRadar XDR主要功能：

• MITRE ATT&CK 框架：QRadar XDR 的設(shè)計基于 MITRE 框架，它提供了一種通用語言來描述當(dāng)前威脅情報信息中的行動和策略。
• IBM QRadar XDR Connect：IBM QRadar XDR Connect 是一個基于 Web 的儀表板，允許安全團隊通過一個簡單的界面輕松查看和管理所有端點。此功能提供對每個設(shè)備的狀態(tài)、運行狀況和配置的集中可見性，從而實現(xiàn)更高效的事件響應(yīng)和補救工作。
• IBM QRadar SIEM：QRadar SIEM 為實時威脅檢測和響應(yīng)提供智能安全分析。它還與 XDR 無縫配對，在攻擊的每個階段跟蹤惡意活動。
• IBM QRadar NDR：QRadar NDR 是下一代網(wǎng)絡(luò)入侵檢測和預(yù)防解決方案，可讓用戶檢測、調(diào)查和阻止整個網(wǎng)絡(luò)中的威脅。
• IBM QRadar SOAR：這個智能安全編排、自動化和響應(yīng)平臺使用戶能夠自動化事件響應(yīng)任務(wù)，與其他工具集成，并管理整個企業(yè)的安全異常。
• Randori Recon：Randori Recon 是一個強大的威脅情報工具，允許用戶發(fā)現(xiàn)未知數(shù)并減少攻擊面。
• IBM Security ReaQta：這個 AI 統(tǒng)一威脅情報平臺可實時洞察所有端點設(shè)備的狀態(tài)和健康狀況。

ExtraHop

ExtraHop的動態(tài)網(wǎng)絡(luò)防御平臺 Reveal(x) 360 為組織提供了對其基礎(chǔ)設(shè)施、工作負(fù)載和動態(tài)數(shù)據(jù)的可見性。Reveal(x) 360應(yīng)用云級 AI，每天監(jiān)控 PB 級流量，執(zhí)行線速解密和綜合行為分析，以檢測可疑活動并尋找高級威脅。ExtraHop XDR 多次被 IDC 和 Gartner 等研究公司公認(rèn)為網(wǎng)絡(luò)檢測和響應(yīng)領(lǐng)域的市場領(lǐng)導(dǎo)者。

Reveal(x) 360主要功能：

• 跨多個環(huán)境工作：ExtraHop XDR 是一個完全云原生的平臺，允許用戶檢測和響應(yīng)整個環(huán)境中的威脅。這包括本地網(wǎng)絡(luò)、公共云服務(wù)、軟件即服務(wù) (SaaS) 應(yīng)用程序等。
• 基于云的記錄存儲和90天回溯：ExtraHop XDR 平臺的內(nèi)置存儲讓用戶可以執(zhí)行簡化的事件調(diào)查。用戶還可以設(shè)置警報并對檢測到的威脅采取自動操作，讓他們完全控制自己的安全狀況。
• 360 傳感器：360 傳感器為所有端點提供實時網(wǎng)絡(luò)數(shù)據(jù)流，因此用戶可以在威脅出現(xiàn)時檢測到它們。
• 實時流處理：ExtraHop XDR 強大的數(shù)據(jù)處理引擎執(zhí)行實時流處理以檢測異?；顒硬?zhǔn)確查明惡意行為。
• MITRE ATT&CK Enterprise Matrix：ExtraHop 的 MITRE ATT&CK 企業(yè)矩陣為用戶提供了其安全狀況的完整視圖，并幫助他們檢測勒索軟件、僵尸網(wǎng)絡(luò)、未經(jīng)授權(quán)的數(shù)據(jù)訪問等。
• 機器學(xué)習(xí)和全球情報：ExtraHop XDR 結(jié)合使用機器學(xué)習(xí)算法和全球威脅情報，幫助用戶檢測新興威脅。

Sophos

Sophos Intercept X是下一代端點安全解決方案，結(jié)合了深度學(xué)習(xí)和無簽名攻擊防御，可保護設(shè)備免受最新威脅的侵害。

Sophos Intercept X主要功能：

• 深度學(xué)習(xí)能力：Sophos Intercept X 有別于其他端點安全解決方案的一件事是它的深度學(xué)習(xí)能力，它允許軟件不斷發(fā)展并適應(yīng)新的威脅。
• 反勒索軟件技術(shù)：該技術(shù)使用基于行為的檢測來識別勒索軟件攻擊并在它們加密您的數(shù)據(jù)之前阻止它們。它還包括一個文件信譽系統(tǒng)，可根據(jù)已知惡意文件數(shù)據(jù)庫檢查文件。如果發(fā)現(xiàn)一個文件是惡意的，它會在它造成任何損害之前被阻止。
• 無簽名漏洞預(yù)防：該技術(shù)使用機器學(xué)習(xí)來檢測和阻止最復(fù)雜的漏洞利用。它還包括一個應(yīng)用程序控制模塊，允許用戶允許或阻止某些應(yīng)用程序。這確保只有批準(zhǔn)的應(yīng)用程序才能在系統(tǒng)上運行，進一步保護它免受攻擊。
• 根本原因分析：如果用戶確實成為網(wǎng)絡(luò)攻擊的受害者，Sophos Intercept X 可以通過其根本原因分析功能幫助他們弄清楚攻擊是如何發(fā)生的。這使用戶可以準(zhǔn)確地看到出了什么問題，因此他們可以采取措施防止將來再次發(fā)生這種情況。
• 托管檢測和響應(yīng)：Sophos Intercept X 提供托管檢測和響應(yīng)服務(wù)，監(jiān)控系統(tǒng)中的威脅并解決出現(xiàn)的任何問題。

趨勢科技（Trend Micro）

趨勢科技 XDR 是一個跨多個安全層收集和關(guān)聯(lián)數(shù)據(jù)的XDR平臺。它被 Forrester New Wave 評為領(lǐng)導(dǎo)者。

趨勢科技 XDR主要功能：

• MITRE Attack Framework：Trend Micro Vision One 的關(guān)鍵特性之一是它建立在 MITRE ATT&CK 框架之上。在最近針對 Wizard Spider 和 Sandworm 攻擊群體的 MITRE ATT&CK 評估中，該工具在確保早期攻擊預(yù)防的保護類別中排名第一。
• 轉(zhuǎn)發(fā)警報的 SIEM 連接器：Trend Micro Vision One 的 SIEM 連接器允許用戶將警報轉(zhuǎn)發(fā)到他們的 SIEM 系統(tǒng)。這種集成通過將來自多個來源的數(shù)據(jù)整合到一個平臺中，提供了組織安全狀況的完整畫面。
• 動態(tài)攻擊面風(fēng)險管理：趨勢科技的動態(tài)攻擊面風(fēng)險管理是一項持續(xù)監(jiān)控組織攻擊面變化的功能。它使用來自 SIEM、防火墻、端點和其他來源的數(shù)據(jù)來識別風(fēng)險和漏洞。DASRM 還包括一個風(fēng)險評分系統(tǒng)，可以對每個風(fēng)險的嚴(yán)重程度進行評級，因此用戶可以優(yōu)先考慮首先解決哪些風(fēng)險。
• 直觀的威脅檢測、調(diào)查和響應(yīng)：趨勢科技的 XDR 平臺旨在直觀且易于使用。它包含各種功能，可使威脅檢測、調(diào)查和響應(yīng)更快、更高效。
• 高級工作流和自動化工具：它包括高級工作流和自動化工具，例如 Security Playbooks 和 Sandbox Analysis，以幫助用戶簡化調(diào)查流程和應(yīng)對威脅。

Palo Alto

Palo Alto 的 Cortex XDR是一種端點安全解決方案，承諾通過集成來自任何來源（包括端點、網(wǎng)絡(luò)、云應(yīng)用程序和用戶活動）的數(shù)據(jù)來檢測和調(diào)查事件，從而阻止攻擊。人工智能引擎處理這些數(shù)據(jù)以識別可疑行為和異常。安全人員可以使用 PowerQuery 分析平臺快速了解根本原因，并在檢測到事件時采取適當(dāng)?shù)拇胧?/p>

Cortex XDR主要功能：

• 基于 AI 的威脅檢測：Cortex XDR 基于 AI 的威脅檢測使用機器學(xué)習(xí)來不斷發(fā)展和提高其檢測和防御新威脅的能力。
• 基于范圍的訪問控制：此功能允許安全團隊準(zhǔn)確指定用戶可以訪問哪些數(shù)據(jù)和應(yīng)用程序。這是防止未經(jīng)授權(quán)訪問敏感數(shù)據(jù)并確保只有授權(quán)用戶才能訪問他們需要的信息的方式。
• 分析引擎：Cortex XDR 還包括強大的分析功能，允許用戶快速輕松地運行數(shù)據(jù)查詢以發(fā)現(xiàn)趨勢和模式。這是快速理解大量數(shù)據(jù)的工具。
• Managed Threat-Hunting Service：該服務(wù)在識別和調(diào)查潛在威脅方面提供專業(yè)幫助。對于沒有內(nèi)部資源專門用于威脅搜索的企業(yè)來說，這是一個很好的選擇。
• 自動根本原因分析：Cortex XDR 包括自動根本原因分析。它可以自動識別安全事件的根本原因并提供修復(fù)。

目前國內(nèi)XDR還處于早期探索階段，僅有少數(shù)安全廠商發(fā)布了基于XDR的應(yīng)用，例如未來智安、亞信安全。整體來看，XDR雖然是一個將多個安全產(chǎn)品整合到一起的解決方案，是未來安全運營的一種思路，但是能不能最大化地發(fā)揮其效果，還是要結(jié)合企業(yè)自身的實際情況來看。