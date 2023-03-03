XDR 通常作为基于云或软件即服务 (SaaS) 的解决方案使用；行业分析机构 Gartner 将 XDR 定义为“基于 SaaS”。它也可能是推动云或安全解决方案提供商的托管检测和响应 (MDR) 产品的核心技术。

XDR 安全解决方案可以集成：

持续数据收集



XDR 从所有集成的安全工具中收集日志数据和遥测数据，从而有效地创建一个持续更新的记录，记录基础架构中发生的一切：登录（成功和不成功）、网络连接和流量、电子邮件信息和附件、创建和保存的文件、应用程序和设备进程、配置和注册表更改。XDR 还会收集由各种安全产品生成的特定警报。

开放式 XDR 解决方案通常使用开放应用程序编程接口 (API) 收集这些数据。（原生 XDR 解决方案可能需要在设备和应用程序上安装轻量级数据收集工具或代理。）收集的所有数据都经过规范化处理，并存储在基于云的中央数据库或数据湖中。

实时分析和威胁检测



XDR 使用高级分析和机器学习算法来实时识别指示已知威胁或可疑活动的模式以及它们的发展。

为此，XDR 将各个基础架构层的数据和遥测数据与来自威胁情报服务的数据相关联，这些服务提供持续更新的信息、新的和最新的网络威胁策略、媒介等。威胁情报服务可以是专有的（由 XDR 提供商运营）、第三方的或基于社区的。大多数 XDR 解决方案还将数据映射到 MITRE ATT&CK，这是一个可免费访问的黑客网络威胁策略和技术全球知识库。

XDR 分析和机器学习算法也可自行进行侦查，从而将实时数据与历史数据和既定基线进行比较，以识别可疑活动、最终用户异常行为以及任何可能表明出现网络安全事件或威胁的内容。它们还可以将“信号”（或称“合法威胁”）与误报的“噪音”区分开来，这样安全分析师便可专注于重要事件。也许最重要的是，机器学习算法不断地从数据中学习，以便随着时间推移更好地检测威胁。

XDR 会在中央管理控制台中汇总重要数据和分析结果，而该控制台也会用作该解决方案的用户界面 (UI)。通过该控制台，安全团队成员可全面了解企业范围内的每个安全问题，并在扩展基础架构的任何位置启动调查、威胁响应和修复措施。



自动检测和响应功能



自动化是实现 XDR 中快速响应的关键所在。XDR 基于安全团队设置的预定义规则，或通过机器学习算法随着时间推移“学习”的规则，可实现自动响应，有助于加快威胁检测和解决速度，同时使安全分析师能够专注于更重要的工作。XDR 可以自动执行任务，例如：

根据严重程度对警报进行分类和优先级排序；





断开或关闭受影响的设备、将用户从网络中注销、停止系统/应用程序/设备进程以及将数据源脱机；





启动防病毒软件/反恶意程序软件，扫描网络上的其他端点，查找相同的威胁；





触发相关的 SOAR 事件响应运行手册（编排多个安全产品以响应特定安全事件的自动化工作流）。

XDR 还可以自动执行威胁调查和修复活动（请参阅下一部分）。所有这些自动化功能都有助于安全团队更快地响应事件，并防止或最大限度地减少其造成的损害。



威胁调查和修复



一旦将安全威胁隔离，XDR 平台就会提供安全分析师可用于进一步调查威胁的功能。例如，取证分析和“回溯”报告可帮助安全分析师查明威胁的根本原因，识别其影响的各种文件，以及确定攻击者为进入网络并在其内四处移动、获取对身份验证凭据的访问权限或是开展其他恶意活动所利用的一个或多个漏洞。

有了这些信息，分析师便可使用修复工具来消除此威胁。具体修复措施可能包括：

销毁恶意文件，并将其从端点、服务器和网络设备上清除；





恢复损坏的设备和应用程序配置、注册表设置、数据和应用程序文件；





应用更新或补丁以消除导致事件的漏洞；





更新检测规则以防止再次发生。



威胁搜寻支持



威胁搜寻（也称为“网络威胁搜寻”）是一项主动采取的安全活动。在此活动期间，安全分析师会在网络中搜索目前未知的威胁，或是组织的自动化网络安全工具尚未检测或修复的已知威胁。

同样，高级威胁可能潜伏数月才被发现，为大规模攻击或数据泄露事件做准备。有效且及时的威胁搜寻可缩短查找和修复这些威胁所需的时间，并限制或预防此攻击造成的损害。

威胁猎人使用各种策略和技术，这些策略和技术依赖于 XDR 用于威胁检测、响应和修复的相同数据源、分析和自动化功能。例如，威胁猎人可能希望根据取证分析或描述特定攻击者方法的 MITRE ATT&CK 数据来搜索特定文件、配置更改或其他项目。

为了支持这些工作，XDR 通过 UI 驱动或编程方式向安全分析师提供分析和自动化功能，以便他们可以执行临时搜索数据查询、威胁情报关联和其他调查。一些 XDR 解决方案包括专为威胁搜寻而创建的工具，例如简单的脚本语言（用于自动执行常见任务），甚至是自然语言查询工具。