什么是XDR扩展威胁检测与响应平台
XDR由Palo Alto首席技术官Nir Zuk于2018年提出。自2020-2021年以来,XDR一直被Gartner的端点安全和安全操作技术成熟度曲线选中,目前处于创新的初始阶段。
XDR的全名是Extended Detection and Response。因为缩写与EDR名称重叠,所以第二个字符X来自Extended,缩写为XDR。
Gartner将XDR定义为一种基于SaaS的供应商特定安全威胁检测和事件响应工具,并将各种安全产品集成到一个集成了所有许可证安全组件的密集型安全操作系统中。
通常,XDR被认为是一个集成了多种安全检测和响应功能的平台框架。只要它是一个用于检测和响应威胁的故障排除模块,就可以安装。有必要将政策和互动界面有机地结合起来。与端点检测和响应(EDR)和网络检测与响应(NDR)相比,X的概念特别需要扩展检测和响应。X包括云、网络、终端、威胁信息等,EDR NDR和其他检测设备是XDR的容量模块,可以为XDR提供数据源和检测设备。
XDR扩展威胁检测与响应平台架构和核心功能
1、XDR扩展威胁检测与响应平台架构
XDR是一个集成了多种安全检测和响应功能的平台框架,因此其核心组件是前端组件(传感器主要用于数据收集和检测)和后端平台组件(主要用于数据采集、分析、威胁检测和响应处理)。
XDR前端组件由可以生成安全遥测数据的“传感器”组成,包括但不限于EDR(终端检测和响应)、EPP(终端保护平台)、NDR(流量检测和响应平台)、SSE(安全服务边缘)、CWPP(云工作负载保护平台),蜜罐和电子邮件安全。
XDR的后端平台从所有主要位置收集遥测数据、日志和威胁上下文信息,然后对所有数据进行关联和高级分析,用于威胁检测、调查和分析、攻击跟踪、工具配置和自动响应。
从整个体系结构的角度来看,XDR可以被视为一个集成了多个安全功能组件(EDR、NDR等)+SDC(安全数据中心)+SIEM/SA(安全信息事件管理/态势感知)+SOAR(安全编排和自动响应)的安全操作系统。
2、XDR扩展威胁检测与响应平台核心功能
XDR的核心功能是数据集成、检测技术、可视化和编译响应技术。
2.1、完全集成的安全数据
从各种安全设备收集数据,包括完整收集、汇总和分析与威胁分析相关的内部(资产、漏洞)、外部(流量、日志)和云威胁数据。
2.2、安全威胁的深度检测
通过对多个来源的安全警报进行关联分析、规则分析、智能分析和机器学习,高水平识别潜在的持续威胁,提高警报检测和准确性。
2.3、安全状况集中显示
警报视图、事件视图和攻击可见性从多个角度可视化情况,包括多个安全事件、攻击方向、攻击趋势和行动区域。
2.4、快速处理安全事件
可视化脚本可以快速实现人员、流程和工具之间的有效协作,并将安全设施连接在一起。如果发生安全事件,可以自动输出阻止策略。如有必要,可以发送通知和警告,以及时完成安全周期。
