扩展检测和响应 (XDR) 是一种开放式网络安全架构，它集成安全工具并统一所有安全层（用户、端点、电子邮件、应用程序、网络、云工作负载和数据）的安全操作。有了 XDR，未设计为协同工作的安全解决方案也能在威胁预防、检测、调查和响应方面实现无缝互操作。

XDR 消除了安全工具和层之间的可见性差距，使负担过重的安全团队能够更快、更高效地检测和解决威胁，并捕获更完整的上下文数据，以做出更好的安全决策并防止未来的网络攻击。

XDR 于 2018 年首次定义，但此后安全专业人士和行业分析师谈论 XDR 的方式一直在迅速变化。例如，许多安全专家首先将 XDR 描述为增强版端点检测和响应 (EDR)，扩展到涵盖所有企业安全层。但如今，专家们认为 XDR 的潜力远远超过它集成的工具和功能的总和，还强调了端到端威胁可见性、统一界面以及用于威胁检测、调查和响应的优化工作流等优势。

此外，分析师和供应商已将 XDR 解决方案分类为原生 XDR（仅集成解决方案供应商提供的安全工具）和开放式 XDR（集成组织安全生态系统中的所有安全工具，无论供应商如何）。但越来越明显的是，企业安全团队和安全运营中心 (SOC) 希望，即使是原生 XDR 解决方案也应该是开放的，从而提供灵活性来集成它们现在使用或将来可能更喜欢使用的第三方安全工具。

如今，各组织都受到高级威胁（也称为高级持续性威胁）的狂轰滥炸。这些威胁会绕过端点预防措施，在网络中潜伏数周或数月，包括四处移动、获取权限、窃取数据以及从 IT 基础架构的不同层收集信息，为大规模攻击或数据泄露做准备。许多最具破坏性和代价高昂的网络攻击和数据泄露（勒索软件攻击、商业电子邮件入侵 (BEC)、分布式拒绝服务 (DDoS)攻击、网络间谍活动）都是高级威胁的例子。

各组织已配备大量网络安全工具和技术来对抗这些威胁，并阻断网络罪犯发动攻击的媒介或方法。其中一些工具侧重于特定的基础架构层；其他工具则跨多个层收集日志数据和遥测数据。

在大多数情况下，这些工具是孤立的，它们不能相互通信。这使得安全团队必须手动关联警报，将实际事件与误报区分开来，并根据严重程度对事件进行分类，然后手动协调它们以缓解和修复威胁。根据IBM 的《2021 年网络弹性组织研究》，32% 的组织报告使用 21 到 30 种单独的安全工具来应对每种威胁；13% 的组织报告使用 31 种或更多工具。

因此，识别和遏制高级威胁需要很长时间。IBM 的《2022 年数据泄露成本》报告显示，数据泄露平均需要 277 天才能检测和解决。根据这个平均值，1 月 1 日发生的数据泄露要到 10 月 4 日才能得到控制。

通过打破层特定的单点解决方案之间的孤岛，XDR 承诺为过度扩展的安全团队和 SOC 提供他们所需的端到端可见性和集成，以更快地识别威胁、更快地响应威胁和更快地解决威胁，并最大限度地减少它们造成的损害。

自推出以来，XDR 在相对较短的时间内就发挥了重要作用。根据《2022 年数据泄露成本》，与未部署 XDR 的组织相比，部署 XDR 的组织的数据泄露生命周期缩短了 29%，泄露成本平均降低了 9%。

XDR 通常作为基于云或软件即服务 (SaaS) 的解决方案使用；行业分析机构 Gartner 将 XDR 定义为“基于 SaaS”。它也可能是推动云或安全解决方案提供商的托管检测和响应 (MDR) 产品的核心技术。

XDR 安全解决方案可以集成：

• 单独的安全工具（或点解决方案），例如防病毒软件、用户和实体行为分析 (UEBA) 或防火墙；
  
  
• 层特定的安全解决方案，例如 EDR、端点保护平台 (EPP)、网络检测和响应 (NDR) 或网络流量分析 (NTA)；
  
  
• 跨安全层收集数据或协调工作流的解决方案，包括安全信息和事件管理 (SIEM) 或安全编排、自动化和响应 (SOAR)。
  

持续数据收集

XDR 从所有集成的安全工具中收集日志数据和遥测数据，从而有效地创建一个持续更新的记录，记录基础架构中发生的一切：登录（成功和不成功）、网络连接和流量、电子邮件信息和附件、创建和保存的文件、应用程序和设备进程、配置和注册表更改。XDR 还会收集由各种安全产品生成的特定警报。

开放式 XDR 解决方案通常使用开放应用程序编程接口 (API) 收集这些数据。（原生 XDR 解决方案可能需要在设备和应用程序上安装轻量级数据收集工具或代理。）收集的所有数据都经过规范化处理，并存储在基于云的中央数据库或数据湖中。

实时分析和威胁检测

XDR 使用高级分析和机器学习算法来实时识别指示已知威胁或可疑活动的模式以及它们的发展。

为此，XDR 将各个基础架构层的数据和遥测数据与来自威胁情报服务的数据相关联，这些服务提供持续更新的信息、新的和最新的网络威胁策略、媒介等。威胁情报服务可以是专有的（由 XDR 提供商运营）、第三方的或基于社区的。大多数 XDR 解决方案还将数据映射到 MITRE ATT&CK，这是一个可免费访问的黑客网络威胁策略和技术全球知识库。

XDR 分析和机器学习算法也可自行进行侦查，从而将实时数据与历史数据和既定基线进行比较，以识别可疑活动、最终用户异常行为以及任何可能表明出现网络安全事件或威胁的内容。它们还可以将“信号”（或称“合法威胁”）与误报的“噪音”区分开来，这样安全分析师便可专注于重要事件。也许最重要的是，机器学习算法不断地从数据中学习，以便随着时间推移更好地检测威胁。

XDR 会在中央管理控制台中汇总重要数据和分析结果，而该控制台也会用作该解决方案的用户界面 (UI)。通过该控制台，安全团队成员可全面了解企业范围内的每个安全问题，并在扩展基础架构的任何位置启动调查、威胁响应和修复措施。

自动检测和响应功能

自动化是实现 XDR 中快速响应的关键所在。XDR 基于安全团队设置的预定义规则，或通过机器学习算法随着时间推移“学习”的规则，可实现自动响应，有助于加快威胁检测和解决速度，同时使安全分析师能够专注于更重要的工作。XDR 可以自动执行任务，例如：

• 根据严重程度对警报进行分类和优先级排序；
  
  
• 断开或关闭受影响的设备、将用户从网络中注销、停止系统/应用程序/设备进程以及将数据源脱机；
  
  
• 启动防病毒软件/反恶意程序软件，扫描网络上的其他端点，查找相同的威胁；
  
  
• 触发相关的 SOAR 事件响应运行手册（编排多个安全产品以响应特定安全事件的自动化工作流）。

XDR 还可以自动执行威胁调查和修复活动（请参阅下一部分）。所有这些自动化功能都有助于安全团队更快地响应事件，并防止或最大限度地减少其造成的损害。

威胁调查和修复

一旦将安全威胁隔离，XDR 平台就会提供安全分析师可用于进一步调查威胁的功能。例如，取证分析和“回溯”报告可帮助安全分析师查明威胁的根本原因，识别其影响的各种文件，以及确定攻击者为进入网络并在其内四处移动、获取对身份验证凭据的访问权限或是开展其他恶意活动所利用的一个或多个漏洞。

有了这些信息，分析师便可使用修复工具来消除此威胁。具体修复措施可能包括：

• 销毁恶意文件，并将其从端点、服务器和网络设备上清除；
  
  
• 恢复损坏的设备和应用程序配置、注册表设置、数据和应用程序文件；
  
  
• 应用更新或补丁以消除导致事件的漏洞；
  
  
• 更新检测规则以防止再次发生。
  

威胁搜寻支持

威胁搜寻（也称为“网络威胁搜寻”）是一项主动采取的安全活动。在此活动期间，安全分析师会在网络中搜索目前未知的威胁，或是组织的自动化网络安全工具尚未检测或修复的已知威胁。

同样，高级威胁可能潜伏数月才被发现，为大规模攻击或数据泄露事件做准备。有效且及时的威胁搜寻可缩短查找和修复这些威胁所需的时间，并限制或预防此攻击造成的损害。

威胁猎人使用各种策略和技术，这些策略和技术依赖于 XDR 用于威胁检测、响应和修复的相同数据源、分析和自动化功能。例如，威胁猎人可能希望根据取证分析或描述特定攻击者方法的 MITRE ATT&CK 数据来搜索特定文件、配置更改或其他项目。

为了支持这些工作，XDR 通过 UI 驱动或编程方式向安全分析师提供分析和自动化功能，以便他们可以执行临时搜索数据查询、威胁情报关联和其他调查。一些 XDR 解决方案包括专为威胁搜寻而创建的工具，例如简单的脚本语言（用于自动执行常见任务），甚至是自然语言查询工具。