XDR是一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測的方法，結合了安全信息和事件管理（SIEM）、安全編排自動化和響應（SOAR）、端點檢測與響應（EDR）以及網絡流量分析（NTA），集中安全數據和事件響應。

XDR提供了一種攻擊的檢測模型，橫跨各種端點、網絡、SaaS應用、云基礎設施等各種可以處理的網絡資源，為所有的網絡層和應用程序堆踐提供可見性，同時具備高級檢測、自動關聯和機器學習能力，可以快速發現事件，響應并阻止現有威脅和緊急威脅。

本文介紹了2022 年值得關注的XDR解決方案。

Cisco

思科的XDR解決方案Cisco SecureX是一款云原生內置平臺，它能將 Cisco Secure 產品組合與客戶基礎設施緊密相連。它以集成、開放的設計簡化了安全防護工作，在單一界面中提供全面的可視性，并通過自動化工作流最大程度提高運維效率。從根本上減少威脅駐留時間和人工操作，幫助企業抵御攻擊。

Cisco SecureX的功能包括：

• 通過跨產品集成提供簡化的體驗。
• 通過跨產品分析提供統一的可視性。
• 通過事件響應能力提高運營效率。

Cisco SecureX提供了更好的技術集成和更廣泛的使用案例。SecureX跨電子郵件、端點、服務器、云工作負載和網絡收集并關聯數據，從而實現對高級威脅的可見性。然后對威脅進行分析、排序、追蹤和修復，以防止數據丟失和安全漏洞。

Crowdstrike

CrowdStrike Falcon是一種基于云的擴展檢測和響應解決方案。它使用 AI 和行為分析來提供針對威脅的實時保護。CrowdStrike Falcon 有一個基于云的管理控制臺，可以輕松部署和管理。不需要本地設備。

CrowdStrike Falcon主要功能：

• 與 MITRE 框架保持一致：CrowdStrike Falcon 是使用MITRE對抗性戰術、技術和常識 (ATT&CK) 方法構建的。這確保了它能夠適應并抵御新威脅的出現。該平臺連續兩年被評為 Gartner 端點保護平臺魔力象限的領導者。
• 單代理設計：CrowdStrike Falcon 的單代理設計確保不需要單獨的端點代理、服務器或云訂閱。
• 高級無簽名保護：CrowdStrike Falcon 的高級威脅防御功能基于機器學習和行為分析。這使它能夠在不依賴簽名的情況下針對不斷變化的未知威脅提供實時保護。
• 適用于所有工作負載：CrowdStrike Falcon 提供跨 Windows、macOS 和 Linux 操作系統的完整端點保護；包括虛擬機和云工作負載。企業無需投資任何本地設備。
• 設備和防火墻控制：CrowdStrike Falcon 在 Falcon 控制臺中提供精細的設備和防火墻控制，允許管理員管理整個網絡中的設備和防火墻。
• API 集成：CrowdStrike Falcon 可以使用其強大的應用程序編程接口 (API) 與其他安全工具和服務集成。組織可以輕松地將威脅防護集成到更廣泛的安全策略中。

SentinelOne

SentinelOne Singularity是一款功能強大的 EDR 解決方案，可針對各種威脅提供實時保護。它使用機器學習和行為分析來檢測和阻止已知威脅和零日威脅。

SentinelOne Singularity主要功能：

• MITRE ATT&CK Framework：在MITRE的所有測試和場景中，SentinelOne 都優于大多數 XDR 解決方案。
• Storyline Feature Threat Hunting：SentinelOne 中的 Storyline 功能創建了所有端點活動的時間線，允許用戶搜索異常行為、了解上下文并確定下一步要采取的行動的優先級。此功能使 SentinelOne 成為威脅搜尋的強大工具，領先一步為安全分析師提供他們所需的洞察力。
• 用于端點管理的單一代理：SentinelOne 使用可部署在所有設備類型和操作系統上的單一輕量級代理。此功能消除了管理多個代理和配置流程的需要，從而節省了寶貴的時間和資源。
• 適用于多個操作系統：SentinelOne 可以保護在 Windows、macOS 和 Linux 操作系統上運行的任何設備。此外，它可以與整個企業的其他安全工具無縫集成，以提供針對所有威脅的全面保護。
• 設備和防火墻控制：SentinelOne 為管理員提供了對設備訪問和網絡防火墻的細粒度控制。此功能使他們能夠從單個控制臺輕松管理整個企業網絡。
• RESTful API：SentinelOne 提供豐富的 RESTful API，可以與其他服務和工具無縫集成。這使企業能夠在其更廣泛的安全堆棧中利用 SentinelOne 的強大功能。

IBM

IBM Security 的QRadar XDR提供了市場上最全面、最開放的威脅檢測和響應解決方案之一。AI 驅動的調查使安全分析師能夠快速調查已識別事件的原因和范圍，以提高運營效率。QRadar XDR 還利用 X-Force Threat Intelligence 平臺共享安全研究、匯總情報并與同行協作，以提高準確性和敏捷性，抵御不斷變化的網絡犯罪活動。

QRadar XDR主要功能：

• MITRE ATT&CK 框架：QRadar XDR 的設計基于 MITRE 框架，它提供了一種通用語言來描述當前威脅情報信息中的行動和策略。
• IBM QRadar XDR Connect：IBM QRadar XDR Connect 是一個基于 Web 的儀表板，允許安全團隊通過一個簡單的界面輕松查看和管理所有端點。此功能提供對每個設備的狀態、運行狀況和配置的集中可見性，從而實現更高效的事件響應和補救工作。
• IBM QRadar SIEM：QRadar SIEM 為實時威脅檢測和響應提供智能安全分析。它還與 XDR 無縫配對，在攻擊的每個階段跟蹤惡意活動。
• IBM QRadar NDR：QRadar NDR 是下一代網絡入侵檢測和預防解決方案，可讓用戶檢測、調查和阻止整個網絡中的威脅。
• IBM QRadar SOAR：這個智能安全編排、自動化和響應平臺使用戶能夠自動化事件響應任務，與其他工具集成，并管理整個企業的安全異常。
• Randori Recon：Randori Recon 是一個強大的威脅情報工具，允許用戶發現未知數并減少攻擊面。
• IBM Security ReaQta：這個 AI 統一威脅情報平臺可實時洞察所有端點設備的狀態和健康狀況。

ExtraHop

ExtraHop的動態網絡防御平臺 Reveal(x) 360 為組織提供了對其基礎設施、工作負載和動態數據的可見性。Reveal(x) 360應用云級 AI，每天監控 PB 級流量，執行線速解密和綜合行為分析，以檢測可疑活動并尋找高級威脅。ExtraHop XDR 多次被 IDC 和 Gartner 等研究公司公認為網絡檢測和響應領域的市場領導者。

Reveal(x) 360主要功能：

• 跨多個環境工作：ExtraHop XDR 是一個完全云原生的平臺，允許用戶檢測和響應整個環境中的威脅。這包括本地網絡、公共云服務、軟件即服務 (SaaS) 應用程序等。
• 基于云的記錄存儲和90天回溯：ExtraHop XDR 平臺的內置存儲讓用戶可以執行簡化的事件調查。用戶還可以設置警報并對檢測到的威脅采取自動操作，讓他們完全控制自己的安全狀況。
• 360 傳感器：360 傳感器為所有端點提供實時網絡數據流，因此用戶可以在威脅出現時檢測到它們。
• 實時流處理：ExtraHop XDR 強大的數據處理引擎執行實時流處理以檢測異常活動并準確查明惡意行為。
• MITRE ATT&CK Enterprise Matrix：ExtraHop 的 MITRE ATT&CK 企業矩陣為用戶提供了其安全狀況的完整視圖，并幫助他們檢測勒索軟件、僵尸網絡、未經授權的數據訪問等。
• 機器學習和全球情報：ExtraHop XDR 結合使用機器學習算法和全球威脅情報，幫助用戶檢測新興威脅。

Sophos

Sophos Intercept X是下一代端點安全解決方案，結合了深度學習和無簽名攻擊防御，可保護設備免受最新威脅的侵害。

Sophos Intercept X主要功能：

• 深度學習能力：Sophos Intercept X 有別于其他端點安全解決方案的一件事是它的深度學習能力，它允許軟件不斷發展并適應新的威脅。
• 反勒索軟件技術：該技術使用基于行為的檢測來識別勒索軟件攻擊并在它們加密您的數據之前阻止它們。它還包括一個文件信譽系統，可根據已知惡意文件數據庫檢查文件。如果發現一個文件是惡意的，它會在它造成任何損害之前被阻止。
• 無簽名漏洞預防：該技術使用機器學習來檢測和阻止最復雜的漏洞利用。它還包括一個應用程序控制模塊，允許用戶允許或阻止某些應用程序。這確保只有批準的應用程序才能在系統上運行，進一步保護它免受攻擊。
• 根本原因分析：如果用戶確實成為網絡攻擊的受害者，Sophos Intercept X 可以通過其根本原因分析功能幫助他們弄清楚攻擊是如何發生的。這使用戶可以準確地看到出了什么問題，因此他們可以采取措施防止將來再次發生這種情況。
• 托管檢測和響應：Sophos Intercept X 提供托管檢測和響應服務，監控系統中的威脅并解決出現的任何問題。

趨勢科技（Trend Micro）

趨勢科技 XDR 是一個跨多個安全層收集和關聯數據的XDR平臺。它被 Forrester New Wave 評為領導者。

趨勢科技 XDR主要功能：

• MITRE Attack Framework：Trend Micro Vision One 的關鍵特性之一是它建立在 MITRE ATT&CK 框架之上。在最近針對 Wizard Spider 和 Sandworm 攻擊群體的 MITRE ATT&CK 評估中，該工具在確保早期攻擊預防的保護類別中排名第一。
• 轉發警報的 SIEM 連接器：Trend Micro Vision One 的 SIEM 連接器允許用戶將警報轉發到他們的 SIEM 系統。這種集成通過將來自多個來源的數據整合到一個平臺中，提供了組織安全狀況的完整畫面。
• 動態攻擊面風險管理：趨勢科技的動態攻擊面風險管理是一項持續監控組織攻擊面變化的功能。它使用來自 SIEM、防火墻、端點和其他來源的數據來識別風險和漏洞。DASRM 還包括一個風險評分系統，可以對每個風險的嚴重程度進行評級，因此用戶可以優先考慮首先解決哪些風險。
• 直觀的威脅檢測、調查和響應：趨勢科技的 XDR 平臺旨在直觀且易于使用。它包含各種功能，可使威脅檢測、調查和響應更快、更高效。
• 高級工作流和自動化工具：它包括高級工作流和自動化工具，例如 Security Playbooks 和 Sandbox Analysis，以幫助用戶簡化調查流程和應對威脅。

Palo Alto

Palo Alto 的 Cortex XDR是一種端點安全解決方案，承諾通過集成來自任何來源（包括端點、網絡、云應用程序和用戶活動）的數據來檢測和調查事件，從而阻止攻擊。人工智能引擎處理這些數據以識別可疑行為和異常。安全人員可以使用 PowerQuery 分析平臺快速了解根本原因，并在檢測到事件時采取適當的措施。

Cortex XDR主要功能：

• 基于 AI 的威脅檢測：Cortex XDR 基于 AI 的威脅檢測使用機器學習來不斷發展和提高其檢測和防御新威脅的能力。
• 基于范圍的訪問控制：此功能允許安全團隊準確指定用戶可以訪問哪些數據和應用程序。這是防止未經授權訪問敏感數據并確保只有授權用戶才能訪問他們需要的信息的方式。
• 分析引擎：Cortex XDR 還包括強大的分析功能，允許用戶快速輕松地運行數據查詢以發現趨勢和模式。這是快速理解大量數據的工具。
• Managed Threat-Hunting Service：該服務在識別和調查潛在威脅方面提供專業幫助。對于沒有內部資源專門用于威脅搜索的企業來說，這是一個很好的選擇。
• 自動根本原因分析：Cortex XDR 包括自動根本原因分析。它可以自動識別安全事件的根本原因并提供修復。

目前國內XDR還處于早期探索階段，僅有少數安全廠商發布了基于XDR的應用，例如未來智安、亞信安全。整體來看，XDR雖然是一個將多個安全產品整合到一起的解決方案，是未來安全運營的一種思路，但是能不能最大化地發揮其效果，還是要結合企業自身的實際情況來看。