自2020年以來， XDR（擴展檢測和響應）就成為了網(wǎng)絡安全領域的一個熱詞，尤其是隨著疫情和網(wǎng)絡威脅帶來的新變化，XDR的熱度持續(xù)上升。XDR是一種新的技術，更是一種解決方案型的產(chǎn)品，為檢測和響應帶來了新的可能性。比如Gartner在2020年的《Top Security and Risk Management Trends》報告中提到的第一項技術和解決方案就是XDR。在代表趨勢的Hype Cycle中，有兩個重點的Hype Cycle都提到了XDR這個關鍵技術。同時，國外各大廠商也在不斷的宣傳自己的XDR解決方案，包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。  此外，在2020年Gartner線上的Summit在主題演講《Top Trends in Security and Risk Management》中的八大趨勢中，第一個也是XDR，作為SIEM和SOAR的替代方案出現(xiàn)在主流市場中。

　　現(xiàn)在普遍認為XDR源于EDR（端點檢測與響應）。EDR是一種安全工具，監(jiān)視與網(wǎng)絡相連的終端用戶硬件設備上的可疑活動與行為，并自動響應以阻斷察覺到的威脅，同時為進一步調(diào)查留存取證數(shù)據(jù)。從名字上可以看出，XDR跟EDR的關系最近，同時終端類型的安全產(chǎn)品也是在事件響應中最重要的產(chǎn)品。但是XDR是一種解決方案型的產(chǎn)品，在安全運營體系中加入了一些有實際安全價值的產(chǎn)品中，以此來提高整體的檢測和響應效率。

　　XDR在Gartner的定義是：SaaS類型的安全威脅檢測和響應平臺，集成了大量的產(chǎn)品，并統(tǒng)一了相關license收費，具體產(chǎn)品功能視廠商而有所不同。XDR產(chǎn)品主要有三大價值：1.?直接集成安全產(chǎn)品開箱即用；2.?有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢；3.由于有多種產(chǎn)品的配合和協(xié)調(diào)，因此可以改進檢測的敏感性；4.多產(chǎn)品聯(lián)動處理改變單一產(chǎn)品的響應過程。XDR產(chǎn)品的最小集合需要有威脅情報的持續(xù)更新，以及需要數(shù)據(jù)的歸一化和中心化處理以便分析和關聯(lián)。標準化的解決方案需要SaaS的存儲，圖數(shù)據(jù)庫的支持分析，集成相關的安全產(chǎn)品，包括EDR、防火墻、SEG、CASB、CWPP等等。

　　XDR的價值，最直接就是兩個：一個就是能夠提高安全運營的效率和價值，增強檢測和響應的能力，可以通過集成多種安全產(chǎn)品并統(tǒng)一進行安全理解；另一個就是降低安全運營的復雜度。一個統(tǒng)一的解決方案，可以統(tǒng)一在一個產(chǎn)品界面進行安全問題的解決，而不需要每個產(chǎn)品進行單獨的對接調(diào)整，降低了安全運營的對接成本和使用成本。XDR的核心優(yōu)勢體現(xiàn)在三個層面：1.?改進保護、檢測和響應的能力；2.?提高安全運營員工的效率；3.?降低獲得有效檢測和響應能力的總體擁有成本（TCO）。

　　需要考慮的問題

　　疫情以來，威脅形勢繼續(xù)發(fā)展并迅速擴大。隨著從端點到網(wǎng)絡再到云的攻擊方法成倍增加，許多企業(yè)使用一流的解決方案來應對每一種攻擊方法，以保護這些特定漏洞。然而，這些工具并沒有將整個技術堆棧中的安全問題聯(lián)系起來。因此，安全數(shù)據(jù)是孤立地收集和分析的，沒有任何上下文或關聯(lián)。

　　隨著 XDR 越來越受到關注并成為關鍵的下一代安全工具，在使用 XDR 解決方案時，你應該考慮以下五個問題。

　　1. XDR 解決方案是否提供了豐富的跨堆?？梢娦砸约皬亩鄠€數(shù)據(jù)源無縫獲取的能力？

　　EDR 解決方案非常適合從端點獲取安全相關信息。但是，它們?nèi)狈Ω櫡治黾夹g，無法為準確描述可能跨越其他來源的攻擊者的行為和目標提供可靠的分析。強大的 XDR 平臺通過啟用來自多個安全層和可能的攻擊點的跟蹤分析來解決跟蹤分析限制問題。這使得持續(xù)監(jiān)控和管理傳入警報成為可能。此外，借助威脅情報源，XDR 系統(tǒng)可以主動搜索隱藏的威脅。

　　Singularity XDR 可以使企業(yè)從任何技術產(chǎn)品或平臺實時無縫地提取結構化、非結構化和半結構化數(shù)據(jù)，打破數(shù)據(jù)孤島并消除關鍵盲點。通過Singularity最近收購的 Scalyr，該解決方案可以讓安全團隊在單個儀表板中查看由來自所有平臺的不同安全解決方案收集的數(shù)據(jù)，包括端點、云工作負載、網(wǎng)絡設備等。

　　Singularity XDR 使分析人員可以利用從多個不同解決方案中將事件信息聚合到單個情境化“事件”中所獲得的洞察力。它還為客戶提供中央執(zhí)行和分析層點集線器，以實現(xiàn)完整的企業(yè)可見性和自主預防、檢測和響應，幫助組織從統(tǒng)一的角度應對網(wǎng)絡安全挑戰(zhàn)。

　　2. XDR 解決方案是否提供跨不同安全層的自動化上下文和關聯(lián)？

　　許多 EDR 解決方案需要（人工）安全團隊進行調(diào)查。但考慮到生成的警報數(shù)量，許多安全團隊沒有足夠的資源來處理每一個事件。一個強大的 XDR 解決方案應該通過人工智能和自動化的內(nèi)置上下文和關聯(lián)來增強。

　　SentinelOne 獲得專利的 Storyline 技術在整個企業(yè)安全堆棧中提供實時、自動化的設備構建上下文和關聯(lián)，將斷開連接的數(shù)據(jù)轉換為豐富的故事，并讓安全分析師了解他們環(huán)境中發(fā)生的完整事情。自動將所有相關事件和活動鏈接到一個具有唯一標識符的故事情節(jié)中。這使安全團隊可以在幾秒鐘內(nèi)查看所發(fā)生事件的完整上下文，而無需花費數(shù)小時、數(shù)天或數(shù)周手動關聯(lián)日志和鏈接事件。

　　SentinelOne 的行為引擎跟蹤整個環(huán)境中的所有系統(tǒng)活動，包括文件/注冊表更改、服務啟動/停止、進程間通信和網(wǎng)絡活動。它檢測作為惡意行為指標的技術和策略，以監(jiān)控隱蔽行為，有效識別無文件攻擊、橫向移動和主動執(zhí)行 rootkit。Singularity XDR 自動將相關活動關聯(lián)到統(tǒng)一警報中，提供活動級別的洞察力，并允許企業(yè)跨不同方法關聯(lián)事件，以促進將警報作為單個事件進行分類。

　　3. XDR 解決方案是否通過集成的威脅情報自動豐富威脅？

　　隨著新的威脅的出現(xiàn)，外部環(huán)境的缺乏使得分析人員難以確定警報或指標是否代表了對其組織的真正威脅。威脅情報提供有關威脅、漏洞和惡意指標的最新信息，讓安全團隊能夠?qū)Ｗ⒂谧钪匾氖虑?。精心構建?XDR 解決方案支持來自多個來源的威脅情報集成，以幫助安全團隊快速有效地確定警報的優(yōu)先級和分類。

　　Singularity XDR 集成了威脅情報，用于檢測和豐富來自領先的第三方源和SentinelOne的專有來源，這些來源通過實時威脅情報自動豐富端點事件。它使安全團隊能夠獲得關于攻擊指標 （IoC） 的額外上下文風險評分，例如 IP、哈希、漏洞和域。例如，通過SentinelOne的 Recorded Future 集成，從 80多萬個來源中自動豐富威脅，使客戶能夠加速威脅調(diào)查和分類功能?？蛻暨€可以利用 SentinelOne 研究策劃的搜索查詢庫，該庫不斷評估新方法，以發(fā)現(xiàn)新的 IOC 和戰(zhàn)術、技術和程序 （TTP）。

　　4. XDR 解決方案是否可以跨不同域自動響應？

　　當然，事件檢測和調(diào)查需要觸發(fā)有效的響應以緩解攻擊事件。響應需要預先定義且可重復，以提高修復效率并干預正在進行的攻擊的任何步驟。應對措施應明確規(guī)定可用于緩解攻擊的短期和長期措施。了解威脅產(chǎn)生的原因?qū)τ谔岣甙踩院头乐菇窈蟀l(fā)生類似的攻擊也至關重要。必須采取一切必要措施，以確保類似的攻擊不太可能再次發(fā)生。

　　Singularity XDR 使分析人員能夠采取所有必要的操作來自動解決威脅，在整個區(qū)域的一臺、多臺或所有設備上一鍵式自動解決威脅，而無需編寫腳本。只需單擊一下，分析師就可以執(zhí)行修復操作，例如網(wǎng)絡隔離、在惡意工作站上自動部署代理或跨云環(huán)境自動執(zhí)行策略。

　　Singularity XDR 還允許客戶利用 Storyline 提供的分析功能，通過 Storyline Active-Response （STAR） 創(chuàng)建特定于其環(huán)境的自定義自動檢測規(guī)則。STAR 允許企業(yè)整合其業(yè)務環(huán)境并根據(jù)其需求定制 EDR 解決方案。借助 Storyline Active-Response （STAR） 自定義檢測規(guī)則，你可以將查詢轉換為自動搜索規(guī)則，在規(guī)則檢測到匹配項時觸發(fā)警報和響應。STAR 使你可以靈活地創(chuàng)建特定于你的環(huán)境的自定義警報和響應，以自動、快速地檢測和遏制整個環(huán)境中的威脅。

　　5. XDR 解決方案是否讓你輕松與領先的 SOAR 工具集成？

　　由于你的 SOC 中可能部署了其他安全工具和技術，因此你的 XDR 解決方案應該讓你能夠利用你在安全工具方面的現(xiàn)有功能。關鍵功能將是內(nèi)置集成，包括自動響應、集成威脅情報。

　　SentinelOne 通過 Singularity Marketplace 向第三方系統(tǒng)（如 SIEM 和 SOAR）提供越來越多的集成組合。Singularity 應用程序托管在SentinelOne可擴展的無服務器功能即服務云平臺上，只需點擊幾下即可與支持 API 的 IT 和安全控制結合在一起。Singularity Marketplace 是 SentinelOne 平臺的一部分，使客戶能夠消除編寫復雜代碼的障礙，使自動化在供應商之間變得簡單和可擴展。安全團隊可以通過在不同域中的安全工具之間推動統(tǒng)一、協(xié)調(diào)的響應，輕松地確定最佳行動方案，以修復和防止安全攻擊。