elevn的博客

一、什么是 SIEM？一、什么是 SIEM？SIEM系统。虽然首字母缩略词 SIEM 是 Gartner 在 2005 年首次创造的，但 SIEM 的功能基础已经存在了更长时间。早在 1990 年代，有远见的组织就认识到他们需要，以促进分析和满足合规性要求。SIEM 工具聚合日志数据，为 SecOps 团队提供统一的遥测资源。他们还保留用于取证和合规目的的数据，跨系统查询数据以进行威胁检测和调查，并提供仪表板和报告以帮助 SecOps 员工按需监控环境并遵守审计要求。二、什么是 SOAR？

XDR 于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出，2020-2021 年连续入选 Gartner 端点安全、安全运营技术成熟度曲线，目前处于创新启动期。XDR全名是Extended Detection and Response（扩展检测和响应），因为缩写与EDR重名了，所以就取了Extended第二个字母X，缩成了XDR。Gartner给出的XDR定义为：XDR是一种基于SaaS。

为了克服数据管理问题和潜在的数据瓶颈、适应安全数据的数量、速度和多样性，XDR需要提供一个现代化的数据通道。73%的组织已经使用MDR提供商，43%的组织将MDR添加到现有MSSP合同中，42%的人开始购买MDR，38%的人将MDR视为技能提升的手段，35%的人需要MDR服务来提升员工技能。组织在安全数据管理方面遇到许多问题，如过滤掉无效的警报（38%）、扩展处理平台（37%）、收集处理威胁情报（36%）、为处理构建有效的数据管道（34%）组织认为XDR是检测、识别、理解整个杀伤链中的复杂攻击的有效方案。

我们之前的文章也多次分析到，因为全球性疫情的愿意，很多企业不得不采取远程办公的方式来维系企业运作，但是这无疑给了网络攻击组织更多的可趁之机，企业网络攻击威胁进一步增大，正是在这样的背景下，XDR得到了更多的认可和选用，而针对XDR的企业信息安全解决方案则更多是提高检测准确性和提高企业安全运营效率和生产效率方面。EDR的作用能够使得企业在终端对企业内部发生的行为进行实时监控，包括每个事件和活动，通过信息的关联来检测网络攻击的存在，并且会运行自动响应，近乎实时地将受感染的终端与网络隔离开，避免进一步的扩散。

扩展检测与响应 (XDR) 是一种保护 IT 基础设施的多层安全技术。它通过从多个安全层面（包括端点、应用程序、电子邮件、云端和网络）收集数据并将数据相互关联，帮助您加深对组织技术环境的了解，从而达到保护 IT 基础设施的目的。借助这个多层联动的解决方案，网络安全技术团队能够快速有效地检测、调查和应对网络威胁。XDR 被视为端点检测与响应 (EDR) 的高级版本。两者的区别在于 EDR 侧重于端点，XDR 则更全面地保护多个安全控制点，借助深度分析和自动化来更快地检测出威胁。

这些专业工具包括：高级威胁终端及主机检测系统OSCE/DS、终端及主机存取证系统CTDI、高级威胁网络检测系统TDA、高级威胁网络存取证系统TRA，高级威胁情报系统TIP、高级威胁分析设备DDAN、高级威胁综合取证验伤分析系统UAP，以及本地和云端威胁情报的“双回路”机制都是方案中极为重要的工具，它们在精密编排的预案下联动工作，使得各个安全节点可以对APT定向攻击、勒索软件等高级攻击的特征行为进行发现、收集、分析和响应。不难发现，从“发现”阶段到“响应”阶段，事实上存在着一条巨大的安全运营“能力鸿沟”。

最近一段时间XDR的概念十分热门，该产品主要是一个什么类型的产品？具体能够解决那些问题，和当前已有的产品有什么区别？ 作为近两年最为热门的安全技术方向，XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR，虽然很多安全厂商给出的定义都不尽相同，但是却有这样一个基本的共识：它不仅是众多安全能力的集合，

在检测层面，组织当中也存在着风险感知和威胁检测的盲点，比如漏洞普遍存在，漏洞与风险、漏洞与资产、漏洞与威胁之间的量化工作存在着盲点，同时普遍存在着影子资产，如员工私搭服务，很难遵守组织安全规范，这就造成了影子资产类的检测盲点。发现上报的告警，也面临着攻击溯源难的问题，比如看不清完整的攻击链路，缺乏全威胁的视角，黑客是怎么打进来的，利用了什么漏洞打进来的，先打了哪台主机，在主机上又做了什么事情，是怎么进行横向移动的，影响面有多大，又造成了什么损失，这一些都是在攻击溯源上面临的难点。

CSAP-X超融合态势感知一体机是以攻防数据安全分析为核心，打造的一款网络安全运营管理一体化设备，由基础分析平台、威胁检测探针、安全设备管理、漏洞扫描、安全知识图谱、终端安全管理等多个组件组成，具有态势感知分析、威胁检测分析、资产发现、脆弱性主动扫描、终端安全管理、AI智能深度分析、SOAR自动化编排响应、溯源取证分析等能力；●异常行为检测：对于用户行为基线的建立及状态跟踪，通过资产、用户的流量、动作等行为偏离情况，建立各种场景化模型，判断各类异常行为，发现隐藏的未知威胁；分析研判—智能安全分析。

我们的愿景是打造一个基于行为的端点保护、检测、调查和响应系统，该系统不仅能够（准确地）拦截执行前和执行后的大部分攻击（预防和保护双管齐下），而且更重要的是，还会随着时间的推移对可疑行为持续进行评估和分类，同时实现整个流程的自动化。虽然 XDR 是一种新的技术概念，但其构建基础是端点检测和响应 (EDR：Endpoint Detection and Response) 系统，后者旨在持续监控系统活动，识别危险行为，检测攻击要素，以进行调查和响应。第 4 层识别及减缓停止攻击与修复工作所需的所有攻击要素。

但SOAR的问题在于，这些工具一旦遇到海量需要分析的数据的时候，就会极大降低自己的修复能力。另一种选择，是选择不绑定厂商的XDR引擎，可以给安全团队带来双重的好处：能够实时发现事故的同时，还能用多种安全技术进行工作。环境中的传感器会生成不同的数据和证据，并且都需要被大批量的关联和分析。另外，SIEM的规则和编写SIEM规则的人的能力都参差不齐，造成不准确或者不完全的分析。举个例子，大部分XDR解决方案受限于供应商的技术结构，会减少能够关联的安全数据量，同时让客户不得不绑定一些昂贵的工具。

通过对威胁数据进行大数据的关联挖掘和识别攻击者，利用机器学习技术进一步快速判别攻击手法，反向定位黑客，并进行攻击溯源分析，促进XDR解决方案向智能化升级。第三，为更高效的应对动态变化的安全威胁，防御侧或将走向个性化，即依据不同终端的特性，自动化形成检测与防护模型，实现更高效和准确的安全防护，这也是未来XDR进化的重要方向。首先，实现精准防护的唯一路径，就是要从云、管、边、端、人五个维度出发，不断进行精细化拓展，最终以更细粒度的方式实现威胁检测、发现、溯源和防护。精细化、智能化、个性化和场景化。

在更复杂的安全形势下，用户更加聚焦实战攻防并以结果为导向，XDR能够将原有的安全技术和手段进行有机地排列组合，通过系统的更新和升级，更有效的解决检测与响应的难题。最终，安全运营的种种问题还要回归到“人”。安全产品的品类过于繁杂，这就对安全运营人员的能力要求极为苛刻，加之能够精通多品类安全产品的安全运营专家具有一定的稀缺性，如何通过一套标准化、更友好的安全运营平台，让不同水平的安全运营人员都能及时、有效地进行标准化、流程化的安全威胁处置工作，降低对安全运维人员个人能力的依赖，成为摆在用户面前的第三道难题。