扩展检测和响应 (XDR) 采用开放式网络安全架构，它集成了一些安全工具并统一了所有安全层上的安全操作，包括用户、端点、电子邮件、应用程序、网络、云工作负载和数据。 借助 XDR，即便安全解决方案未设计为协同工作，它们也可以在威胁预防、检测、调查和响应方面实现无缝互操作。

XDR 消除了安全工具与各层之间的可见性差距，使超负荷工作的安全团队能够更快、更高效地检测和解决威胁，并捕获更加全面的上下文数据，以便制定更明智的安全决策，防止未来发生网络攻击。

XDR 于 2018 年首次定义，但从那时起，安全专家和行业分析师谈论 XDR 的方式总是在不断变化。 比如，许多安全专家一开始将 XDR 描述为加强版的端点检测和响应 (EDR)，范围涵盖了所有企业安全层。 但如今，专家们认为 XDR 的潜力远远超出它所集成的工具和功能的总和，并重点强调了诸如端到端威胁可见性、统一界面以及用于威胁检测、调查和响应的优化工作流程等优势。

此外，分析人员和供应商已将 XDR 解决方案归类为本机 XDR 或开放式 XDR，其中本机 XDR 仅集成了来自解决方案供应商的安全工具，而开放式 XDR 则集成了组织安全生态系统中的所有安全工具（不考虑供应商）。 但越来越明显的是，企业安全团队和安全运营中心 (SOC) 甚至希望本机 XDR 解决方案也能够开放，以便能够灵活集成他们目前使用或未来希望使用的第三方安全工具。

现如今，组织经常会受到高级威胁（也称为高级持久性威胁）的轰炸。   这些威胁逃过了端点预防措施，潜伏在网络中数周或数月，它们四处游走、获取权限、窃取数据，并从 IT 基础架构的不同层中收集信息，准备进行大规模攻击或数据泄露活动。 许多最具破坏性且代价高昂的网络攻击和数据泄露事件（如勒索软件攻击、商业电子邮件泄露 (BEC)、分布式拒绝服务 (DDoS) 攻击、网络间谍活动）都是高级威胁的示例。

组织已采用大量的网络安全工具和技术来应对这些威胁，并关闭了网络犯罪分子发动威胁所用的攻击媒介或方法。   其中一些工具主要用于特定基础架构层；而其他工具则用于收集多个层中的日志数据和遥测数据。

在大多数情况下，这些工具彼此孤立， 也就是说，它们不会进行通信。 这就需要安全团队手动关联警报，将实际事件与误报事件区分开，根据严重性对事件进行分类，并手动协调以缓解威胁影响并采取补救措施。    2021 年 IBM 网络弹性组织研究显示，32% 的组织报告使用了 21 到 30 款安全工具来应对各种威胁；13% 的组织报告至少使用了 31 款安全工具来应对威胁。

结果是识别并遏制高级威胁所需的时间过长。   2022 年 IBM 数据泄露成本报告显示，平均需要 277 天才能检测并解决数据泄露事件。  按照这个平均天数计算，1 月 1 日发生的数据泄露事件要到 10 月 4 日才能得以遏制。

 XDR 可以打破特定层的单点解决方案之间彼此孤立的局面，为过度扩张的安全团队和 SOC 提供他们所需的端到端可见性和集成，以便他们可以更快识别、响应和解决威胁，将威胁损害降至最低。

XDR 自推出以来，在相对较短的时间内就扭转了这一局面。 《2022 年数据泄露成本》报告显示，与未部署 XDR 的组织相比，已部署 XDR 的组织将其数据泄露生命周期缩短了 29 周，并将平均泄露成本降低了 9%。

XDR 通常用作基于云的解决方案或软件即服务 (SaaS) 解决方案；一家行业分析机构 Gartner 将 XDR 定义为“基于 SaaS”。 它也可以作为某家云或 安全解决方案 提供商的托管式检测和响应 (MDR) 产品的核心技术。

XDR 安全解决方案 可以集成：

• 个人安全工具（或单点解决方案），例如防病毒软件、用户和实体行为分析 (UEBA)或防火墙；
  
  
• 特定于层的安全解决方案，例如 EDR、端点保护平台 (EPP)、网络检测和响应 (NDR) 或网络流量分析 (NTA)；
  
  
• 用于跨安全层收集数据或协调工作流程的解决方案，包括 安全信息和事件管理 (SIEM) 或 安全协调、自动化和响应 (SOAR)。
   

持续数据收集

XDR 收集所有集成式安全工具中的日志数据和遥测数据，有效创建一个持续更新的记录，用于记录基础架构中发生的所有事件，包括登录（成功和不成功）、网络连接和流量、电子邮件和附件、创建和保存的文件、应用程序和设备流程、配置和注册表更改。   XDR 还收集各种安全产品所生成的特定警报。  

开放式 XDR 解决方案通常使用开放式应用程序编程接口 (API) 来收集此类数据。 （本机 XDR 解决方案可能要求在设备和应用程序上安装轻量级数据收集工具或代理。） 收集的所有数据都经过规范化，并存储在基于云的中央数据库或数据湖中。 

实时分析和威胁检测  

XDR 使用高级分析和 机器学习 算法，在已知威胁或可疑活动发生之前 实时识别指示这些活动的模式。

为此， XDR 会将多个基础架构层中的数据 和 遥测数据 与 威胁情报 服务中的数据相关联；威胁情报服务将提供有关新的和最近的网络威胁策略、 媒介 等的持续更新信息。 威胁情报 服务可以是专有服务（由 XDR 提供商运营）、第三方服务或基于社区的服务。 大多数 XDR 解决方案还会将数据映射到 MITRE ATT&CK（这是一个可免费访问的全球黑客网络威胁策略和技术知识库）。

XDR 分析和机器学习算法还可以自行执行侦查，将 实时 数据与历史数据和已建立的基线进行比较，确定出可疑的活动、异常的最终用户行为以及任何可能指示 网络安全 事件或威胁的内容。 这些算法还可以将“信号”或合法威胁与“噪音”（ 误报事件）区分开来，以便 安全分析人员 可以集中精力处理重要的事件。 最重要的是， 机器学习 算法会不断从数据中学习，以便随着时间的推移更好地检测威胁。

XDR 将在中央管理控制台（也用作解决方案的用户界面 (UI)）中汇总重要数据和分析结果。  安全团队 成员可以在控制台中全面了解企业范围内的每个安全问题，并在扩展基础架构中的任何位置启动调查、威胁响应和 补救措施 。
 

自动检测和响应功能

自动化是 XDR 实现快速响应的关键。 根据安全团队设置的预定义规则或机器学习算法随时间推移“学到”的知识，XDR 支持自动响应，这有助于加快威胁检测和解析，同时让安全分析人员可以集中精力处理更为重要的工作。    XDR 可以自动执行任务，例如：

• 根据严重性对警报进行分类和优先级划分；
  
  
• 断开或关闭受影响的设备，从网络中注销用户，停止系统/应用程序/设备进程，并使数据源脱机；
  
  
• 启动防病毒软件/防恶意程序，以扫描网络上的其他端点来查找相同的威胁；  
  
  
• 触发相关 SOAR 事件响应运行手册（可协调多个安全产品的自动化工作流程，以响应某个特定安全事件）。         

XDR 也可以自动执行威胁调查和补救活动（查看下一节）。   此类自动化可帮助安全团队更快地响应事件，并防止或最大限度地减少它们造成的损害。    
 

威胁调查和补救 

一旦确定存在安全威胁，XDR 平台就会提供一些功能，以供安全分析人员用来进一步调查威胁。     例如，取证分析和“追溯”报告可帮助安全分析人员查明威胁的根本原因，识别受其影响的各种文件，并确定攻击者进入并使用网络获取认证凭证访问权或执行其他恶意活动时利用的一个或多个漏洞。

有了这些信息，分析人员就可以协调使用补救工具来消除威胁。   补救措施可能包括：

• 销毁恶意文件并从端点、服务器和网络设备中擦除这些文件；
  
  
• 恢复受损的设备和应用程序配置、注册表设置、数据和应用程序文件；
  
  
• 应用更新或补丁来消除导致事件的漏洞；
  
  
• 更新检测规则以防止再次发生。
   

威胁搜寻支持 

威胁搜寻（也称为“网络威胁搜寻”）是一项主动式安全活动，安全分析人员可通过这种活动在网络中搜索未知威胁或者组织自动网络安全工具尚未检测或修复的已知威胁。       

另外，高级威胁可能会潜伏数月后才被检测出来，这就为大规模攻击或泄露活动留出了准备时间。   有效且及时的威胁搜寻可以缩短检测和修复这些威胁所用的时间，并减少或防止攻击造成的损害。

威胁搜寻者可以使用多种策略和方法，这些策略和方法依赖于 XDR 在威胁检测、响应和补救时使用的数据源、分析和自动化功能。       例如，威胁搜寻者可能希望根据取证分析来搜索特定文件、配置更改或其他工件，或者搜索用于描述特定攻击者方法的 MITRE ATT&CK 数据。

为了支持这些工作，XDR 可通过 UI 驱动的方法或编程方式向安全分析人员提供分析和自动化功能，以便他们可以执行临时搜索数据查询、与威胁情报进行关联以及开展其他调查。       一些 XDR 解决方案包括专为威胁搜寻创建的工具，例如简单脚本语言查询工具（用于自动执行常见任务），甚至是自然语言查询工具。