XDR是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法,结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA),集中安全数据和事件响应。
XDR提供了一种攻击的检测模型,横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源,为所有的网络层和应用程序堆践提供可见性,同时具备高级检测、自动关联和机器学习能力,可以快速发现事件,响应并阻止现有威胁和紧急威胁。
XDR方案具有如下功能:
一是多组件、手段感知资产并梳理分类,全网溯源,威胁定位具体资产;
二是探针进行全流量采集,深度检测(高级/未知威胁、恶意文件、情报联动等)勒索、挖矿等APT投递途径,及早发现异常;
三是将智源平台的网络监测数据与EDR的终端进程日志、安全设备日志、情报等进行关联分析,秒级定位威胁,同时大幅消减无效告警;
四是通过SOAR帮助用户对恶意行为进行自动响应,结合情报,配置阻断策略,无需人工干预即完成主动安全强化。
近年来,随着数字产业化和产业数字化进程加快,网络安全的基础性、关键性作用更加突出。加之百年变局和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,国家产业链、供应链及关键基础设施频繁遭受冲击,网络空间安全的形势复杂多变,针对关键基础设施行业和新技术、新场景的网络安全威胁事件频发。针对企事业单位的网络攻击正在变得更加隐蔽和复杂,攻防对抗从原来的技术之争演变为速度之争。虽然此前已配备了防火墙、IDS、 IPS、WAF、SIEM、SOAR等安全设备,但这些设备每天产生海量告警,且来自不同厂商的设备各自为战、检测割裂,难以将多个节点的痕迹自动关联成一个完整的攻击案件,安全团队及时跟进告警分析与事件响应的难度大。
应用XDR方案取得如下效果:
一是从资产维度,全面掌握潜在风险,搭配溯源取证能力,快速下发告警;
二是基于全链条数据进行APT预警防御,最大限度预防APT渗入;
三是编排响应剧本,建立各威胁事件联动机制,实现威胁自动化处置,缩短响应时间;
四是从“被动防御”到“主动运营”,实现基于风险的管理,使整个安全工作变得有序有效。
301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
