“現(xiàn)網(wǎng)簡(jiǎn)單堆砌各類(lèi)的流量監(jiān)測(cè)和終端檢測(cè)設(shè)備，多方設(shè)備單打獨(dú)斗，以往基于SIEM、SOC等技術(shù)手段和方案，并投入大量人力與成本，依然存在高價(jià)值告警難以精準(zhǔn)定位、響應(yīng)處置效率低下等問(wèn)題……”

這是用戶在實(shí)戰(zhàn)攻防演練前，常常表達(dá)的擔(dān)憂。

如何將傳統(tǒng)設(shè)備單打獨(dú)斗的模式，轉(zhuǎn)變成真正有效的多方設(shè)備協(xié)同作戰(zhàn)的模式？深信服XDR的多源數(shù)據(jù)融合分析能力，精準(zhǔn)定位高價(jià)值事件，提升研判效率，給用戶交上了一份簡(jiǎn)單有效的答卷。

在今年的實(shí)戰(zhàn)攻防演練期間，某國(guó)家單位依托深信服XDR作為總值守平臺(tái)，通過(guò)多源數(shù)據(jù)融合分析，發(fā)現(xiàn)5起高價(jià)值事件，研判效率提升65%。

首先，我們要理解，什么是Open XDR？

基于以AI為內(nèi)核的「開(kāi)放平臺(tái)+領(lǐng)先組件+云端服務(wù)」理念，深信服提出了「Open XDR」的概念：一種基于XDR平臺(tái)的開(kāi)放融合解決方案，用于滿足三方安全設(shè)備數(shù)據(jù)接入的通用能力。

對(duì)于已經(jīng)建設(shè)安全運(yùn)營(yíng)中心的用戶來(lái)說(shuō)，基于Open XDR能力，深信服XDR平臺(tái)也可以成為其聚焦威脅運(yùn)營(yíng)、提升檢測(cè)效果的子平臺(tái)。

在數(shù)據(jù)采集層面，XDR可與第三方設(shè)備數(shù)據(jù)和自有設(shè)備數(shù)據(jù)進(jìn)行融合分析。

將碎片化的安全設(shè)備日志進(jìn)行有效融合分析，需要經(jīng)過(guò)數(shù)據(jù)治理與關(guān)聯(lián)分析兩道關(guān)鍵步驟。

然而，因技術(shù)手段有限，多源數(shù)據(jù)治理，存在數(shù)據(jù)質(zhì)量差、建設(shè)周期長(zhǎng)、建設(shè)成本高等業(yè)界難題，深信服XDR又是如何力排萬(wàn)難的呢？

深信服XDR創(chuàng)新采用XStream技術(shù)，通過(guò)整合多種AI技術(shù)，實(shí)現(xiàn)三方設(shè)備自動(dòng)化接入，大幅提升多源數(shù)據(jù)接入的效率，包含自動(dòng)接入引擎、威脅類(lèi)型自動(dòng)理解引擎、智能校驗(yàn)引擎。

1.AI自動(dòng)接入解析

根據(jù)接入的第三方數(shù)據(jù)動(dòng)態(tài)生成對(duì)應(yīng)的自動(dòng)解析規(guī)則，分為采集過(guò)濾、識(shí)別匹配、規(guī)則生成等主要流程，接入設(shè)備可快速學(xué)習(xí)適配、快速驗(yàn)證接入效果。

2.深度理解威脅類(lèi)型

在實(shí)時(shí)解析的過(guò)程中，將未見(jiàn)過(guò)的三方日志規(guī)則類(lèi)型發(fā)送到 AI模型做此類(lèi)規(guī)則的深度理解，將規(guī)則對(duì)應(yīng)的威脅類(lèi)型寫(xiě)入緩存中，當(dāng)遇上同類(lèi)規(guī)則時(shí)，即可準(zhǔn)確理解其對(duì)應(yīng)的威脅類(lèi)型，由此提升告警研判效率，快速挖掘高價(jià)值告警。

3.智能校驗(yàn)載荷

對(duì)安全日志進(jìn)行payload二次檢測(cè)，輸出二次檢測(cè)后的安全日志，可增強(qiáng)對(duì)原始三方日志的檢測(cè)能力，糾正威脅等級(jí)。

依托XStream技術(shù)完成多源數(shù)據(jù)治理后，數(shù)據(jù)將流轉(zhuǎn)到二級(jí)告警聚合引擎，結(jié)合關(guān)鍵的網(wǎng)端關(guān)聯(lián)能力，XDR平臺(tái)由此生成精準(zhǔn)的攻擊結(jié)果。

1.強(qiáng)關(guān)聯(lián)

當(dāng)網(wǎng)端兩側(cè)檢測(cè)到了同一個(gè)命令執(zhí)行、可疑文件行為或網(wǎng)絡(luò)請(qǐng)求，可以通過(guò)命令、文件、攻擊類(lèi)型因子進(jìn)行準(zhǔn)確匹配。

2.邏輯關(guān)聯(lián)

當(dāng)攻擊階段存在攻防場(chǎng)景相關(guān)性，通過(guò)網(wǎng)絡(luò)側(cè)攻擊階段的關(guān)聯(lián)，可以判斷終端側(cè)的可疑命令執(zhí)行。

3.弱關(guān)聯(lián)

通過(guò)推測(cè)還原事件輪廓，跨階段關(guān)聯(lián)不同設(shè)備的告警，可以一定程度上解決斷鏈難題。

需要強(qiáng)調(diào)的是，多源數(shù)據(jù)融合分析的核心在于數(shù)據(jù)質(zhì)量。

在高質(zhì)量的數(shù)據(jù)的基礎(chǔ)之上，結(jié)合XStream、網(wǎng)端關(guān)聯(lián)分析能力，深信服XDR才能保障威脅檢測(cè)分析的效果與效率。

因此，深信服XDR將數(shù)據(jù)質(zhì)量分為三個(gè)層級(jí)，實(shí)現(xiàn)三方組件采集數(shù)據(jù)能力和質(zhì)量的可視化，幫助用戶衡量?jī)r(jià)值和效果。

針對(duì)不同第三方設(shè)備的數(shù)據(jù)，深信服XDR可展現(xiàn)不同安全效果所需的關(guān)鍵字段，以便衡量各類(lèi)三方數(shù)據(jù)的質(zhì)量。

總之，基于以AI為內(nèi)核的「開(kāi)放平臺(tái)+領(lǐng)先組件+云端服務(wù)」，深信服XDR平臺(tái)通過(guò)自有和第三方的流量采集與端點(diǎn)采集組件，將多源數(shù)據(jù)聚合分析，準(zhǔn)確生成安全事件并自動(dòng)回溯完整攻擊鏈，結(jié)合安全GPT等AI技術(shù)賦能，實(shí)現(xiàn)「秒級(jí)閉環(huán)，百倍提效，千萬(wàn)級(jí)降本」的效率和能力躍升，構(gòu)建安全運(yùn)營(yíng)的全新范式，助力每一位用戶「安全領(lǐng)先一步」。