全面解读 | XDR到底是什么？从产品经理视角解析XDR

一文读懂什么是XDR？

山石网科带你深入了解XDR

安全圈已经有了NDR、EDR，最近几年又出现了XDR。这么多DR让大家傻傻分不清楚。大家都在宣传XDR是如何的提升运营效率的、如何精准检测和自动响应的。凭什么XDR可以，其他安全运营类产品不行呢？由此我们产生了疑问：到底什么是XDR？它和SIEM、态势感知又有什么区别？

一、XDR的概念和定义？

XDR者，美利坚人士也。全名叫Extended Detection and Response（扩展检测和响应），因为缩写与EDR重名了，所以就取了Extended第二个字母X，缩成了XDR。

XDR概念是2018年由美国网络安全公司Palo Alto Networks提出。同时他们也发布了世界上首款XDR产品——Cortex XDR。

如果说Palo Alto是XDR概念的创始方，那么将XDR概念传播开来的就是Gartner。Gartner在2020年发布的《顶级安全和风险管理趋势》报告中，提到的第一项技术趋势就是XDR。接着又后续发布了《扩展检测和响应（XDR）的创新洞察》、《扩展检测和响应（XDR）市场指南》。在这两份报告中，Gartner详细的阐述了XDR的技术架构、核心能力、市场趋势等等。

Gartner是如下定义XDR的：“XDR一种基于 SaaS 的、绑定到特定供应商的安全威胁检测和事件响应工具，它原生地将多个安全产品集成到一个统一的安全运营系统中，该系统统一了所有许可组件。

在通常情况下，我们可以认为XDR是一个框（套件）。只要是为了解决威胁检测与响应的问题能力模块，都可以往里装。它需要将多个安全产品能力有机的结合在一起，有统一的数据格式、策略、交互界面。

所以安全产品能力之间结合的是否“有机”，就成为了对XDR的核心要求。假设只是简单粗暴的将各种安全产品攒在一起，那么是无法起到1+1大于2的作用的。

二、XDR的架构演进

Gartner定义早期的XDR，主要关注于保护终端用户以及他们使用的应用程序和数据。后期XDR概念可以扩展到数据中心保护、身份和访问管理等产品的组合。

从下图可以看到，早期的XDR概念框架主要集成的还是端点检测与响应（EDR）、网络威胁检测（NTA）、防火墙（FW）、身份识别与访问管理（IAM）、数据防泄漏（DLP）、云访问代理（CASB）等等。

通过统一的交互框架、统一的数据标准、统一的数据存储方式进行数据关联，最终实现自动化的事件响应。同时提供了开放接口，给第三方设备对接提供了可能性。

随着各大厂家的XDR产品的不断落地，根据用户场景以及厂家实际情况，XDR的架构也在不断的细化和扩充。Gartner在后期报告中，将XDR的架构分为成了前端和后端。

从上图表格来看，XDR的框架还是非常宏伟的。要做到所有前端能力的有机结合当前还存在困难。所以Gartner后期表示前端应该有三个及以上的能力，包括不限于EDR、NDR、Firewall等等，相当于侧面强调了并不是集成了所有能力才算是XDR。

后端能力本质上和目前国内的态势感知或者SOC平台没有太大的差异，都是诸如结合威胁情报、汇总数据分析、自动化响应之类的能力。

三、XDR在国内的落地实践

目前不管是国内还是国外，对于XDR的集成度都远远没有达到Gartner框架中定义的标准。目前最成熟的集成方式是云、网、端三大类防护能力，形成统一和标准的XDR产品形态，实现全维度纵深防御体系。

我们前面提到XDR平台最核心的优势就是有机的结合。所以相比SIEM平台收集各种告警日志来讲，XDR平台具备以下优势：

浓缩的威胁事件

因为XDR平台中前端感应器都是自身集成的能力，所以在告警的分析和关联上，具备天然的优势，它能够完美的结合NDR和EDR各自的优点。我们知道黑客在攻击时，往往都不是一蹴而就的，基本上都要经历各个步骤。所以有了Cyber Kill-Chain(网络杀伤链)以及最近几年流行的ATT&CK框架。这些框架都是为了把攻击步骤系统化的拆分成各个阶段，和各个步骤。

从网络侧做威胁检测，检测到的更多都是攻击的特征或者攻击意图，此时攻击很有可能并未真正发生，或者并未造成严重后果。如果全部转化为威胁事件，则会造成告警风暴，给运营带来困难。

从端点侧做检测，确实能检测到攻击的准确信息，但是端点检测这种方式无法覆盖用户所有的资产。并且端点检测的部署成本相比网络检测也更高，对于端点的操作系统、硬件配置、网络情况都有要求。

所以EDR的特点是检测的深但是覆盖面窄，而NDR的特点是检测的浅但是覆盖面广。

XDR则结合了这两者的全部优点，对于重点资产可采用端点检测方式，对于其他资产可采用网络检测方式。XDR平台会将这两种能力检测到的原始事件信息进行自动化关联，最终可将这些微弱的攻击信息，关联分析成浓缩的威胁事件。

丰富的上下文信息

相比SIEM类产品收集第三方安全设备的日志，XDR产品由于检测组件都是自身的原因，收集到的安全日志信息都是一手信息，相比Syslog类的二手信息具备信息保真度更高，上下文信息更丰富的优势。并且由于商业竞争越来越激烈，第三方厂家很少会在外发的威胁告警日志中，提供详细的上下文信息。这就造成了SIEM类产品做溯源分析时，存在大量信息丢失的情况。反之，由于XDR能够收集网络侧和端点侧的一手信息，通过内部统一的数据格式和数据存储，能够提供更加丰富且详细的上下文信息。

统一的交互框架

在前面我们提到，XDR能力需要有机的结合。相比传统的SIEM类产品，XDR做到的不仅仅是数据的统一，在交互层和业务层面上也实现了高度的统一。相比SIEM类产品组成的“解决方案”，XDR产品对外体提供的就是一套产品。虽然各个能力组件分开部署，但是从UI和交互上，是高度统一的。并且系统中全局的配置内容也是统一的。比如有统一的账号体系、统一的大屏展示、统一的策略规格、统一的资产信息等等。在这种统一的架构中，用户无需在各个平台之间跳来跳去，在统一的交互框架内就能完成跨数据源的威胁分析和事件调查。

高效的联动响应

XDR产品除了威胁分析和事件调查具备优势之外，在响应层面也是同样具备优势的。通常情况下，响应能力也是由XDR原厂提供。比如山石的NGFW\IPS等安全设备，在XDR产品中，也是响应能力的一环。由于采用了统一的策略规格，以及原厂的统一接口对接。在做威胁响应时，除了基础的策略响应外，还能够实现对已下发策略的自动聚合等能力。同时在统一的交互界面上，可实现手工或者剧本下发阻断策略，无需跳转至防火墙管理界面进行策略下发。大大的提升了威胁响应的效率。同时所有下发的策略支持编辑、删除，保留下发记录，方便后期进行维护和审计。

开放的异构生态

考虑到很多客户那里完全部署一套完整的XDR不太容易，毕竟现网往往有多家设备。并且有些客户还有异构的需要，所以XDR在落地的过程中，如果能兼具与第三方网元的数据采集分析和联动响应能力，将会更加贴合实际的场景。

想必，在上述内容的阐述中，大家基本已经了解到了XDR到底强在了哪里。当然要实现这些能力，还需要原厂具备雄厚的研发实力。XDR产品由于涉及到的产品能力多，且集成度高。所以对原厂的产品线广度和深度，以及内部协调的通畅性都提出了更高的要求。

四、课后总结

首先我们再通过一张图来回顾一下XDR、EDR、NDR、SIEM、态势感知之间的区别。

XDR概念虽然提出不久，但是最近2年各大云服务厂家、传统安全厂家、初创公司纷纷推出了XDR产品。这代表国内市场也认可了XDR概念的优势点，并打算不断的去做市场落地实践。当前我们急需要做的是不断的细化XDR概念框架，不断结合市场需求打磨产品。至于什么是XDR却又没那么重要了。我们要关注的不应该只是XDR这个名字，更要关注的是XDR这个概念的本身。能解决实际问题的产品无论它叫什么名字，都是好产品。

以上就是XDR概念的所有阐述和个人理解，欢迎大家在评论区讨论！

我不允许你到现在

还没看过绝美电子杂志《岩谈》！

山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

山石网科为金融、政府、运营商、互联网、教育、医疗卫生等行业累计超过23,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心，业务已经覆盖了中国、美洲、欧洲、东南亚、中东等50多个国家和地区。

（文章配图源自网络）