XDR是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法，结合了安全信息和事件管理（SIEM）、安全编排自动化和响应（SOAR）、端点检测与响应（EDR）以及网络流量分析（NTA），集中安全数据和事件响应。

XDR提供了一种攻击的检测模型，横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的网络资源，为所有的网络层和应用程序堆践提供可见性，同时具备高级检测、自动关联和机器学习能力，可以快速发现事件，响应并阻止现有威胁和紧急威胁。

本文介绍了2022 年值得关注的XDR解决方案。

Cisco

思科的XDR解决方案Cisco SecureX是一款云原生内置平台，它能将 Cisco Secure 产品组合与客户基础设施紧密相连。它以集成、开放的设计简化了安全防护工作，在单一界面中提供全面的可视性，并通过自动化工作流最大程度提高运维效率。从根本上减少威胁驻留时间和人工操作，帮助企业抵御攻击。

Cisco SecureX的功能包括：

• 通过跨产品集成提供简化的体验。
• 通过跨产品分析提供统一的可视性。
• 通过事件响应能力提高运营效率。

Cisco SecureX提供了更好的技术集成和更广泛的使用案例。SecureX跨电子邮件、端点、服务器、云工作负载和网络收集并关联数据，从而实现对高级威胁的可见性。然后对威胁进行分析、排序、追踪和修复，以防止数据丢失和安全漏洞。

Crowdstrike

CrowdStrike Falcon是一种基于云的扩展检测和响应解决方案。它使用 AI 和行为分析来提供针对威胁的实时保护。CrowdStrike Falcon 有一个基于云的管理控制台，可以轻松部署和管理。不需要本地设备。

CrowdStrike Falcon主要功能：

• 与 MITRE 框架保持一致：CrowdStrike Falcon 是使用MITRE对抗性战术、技术和常识 (ATT&CK) 方法构建的。这确保了它能够适应并抵御新威胁的出现。该平台连续两年被评为 Gartner 端点保护平台魔力象限的领导者。
• 单代理设计：CrowdStrike Falcon 的单代理设计确保不需要单独的端点代理、服务器或云订阅。
• 高级无签名保护：CrowdStrike Falcon 的高级威胁防御功能基于机器学习和行为分析。这使它能够在不依赖签名的情况下针对不断变化的未知威胁提供实时保护。
• 适用于所有工作负载：CrowdStrike Falcon 提供跨 Windows、macOS 和 Linux 操作系统的完整端点保护；包括虚拟机和云工作负载。企业无需投资任何本地设备。
• 设备和防火墙控制：CrowdStrike Falcon 在 Falcon 控制台中提供精细的设备和防火墙控制，允许管理员管理整个网络中的设备和防火墙。
• API 集成：CrowdStrike Falcon 可以使用其强大的应用程序编程接口 (API) 与其他安全工具和服务集成。组织可以轻松地将威胁防护集成到更广泛的安全策略中。

SentinelOne

SentinelOne Singularity是一款功能强大的 EDR 解决方案，可针对各种威胁提供实时保护。它使用机器学习和行为分析来检测和阻止已知威胁和零日威胁。

SentinelOne Singularity主要功能：

• MITRE ATT&CK Framework：在MITRE的所有测试和场景中，SentinelOne 都优于大多数 XDR 解决方案。
• Storyline Feature Threat Hunting：SentinelOne 中的 Storyline 功能创建了所有端点活动的时间线，允许用户搜索异常行为、了解上下文并确定下一步要采取的行动的优先级。此功能使 SentinelOne 成为威胁搜寻的强大工具，领先一步为安全分析师提供他们所需的洞察力。
• 用于端点管理的单一代理：SentinelOne 使用可部署在所有设备类型和操作系统上的单一轻量级代理。此功能消除了管理多个代理和配置流程的需要，从而节省了宝贵的时间和资源。
• 适用于多个操作系统：SentinelOne 可以保护在 Windows、macOS 和 Linux 操作系统上运行的任何设备。此外，它可以与整个企业的其他安全工具无缝集成，以提供针对所有威胁的全面保护。
• 设备和防火墙控制：SentinelOne 为管理员提供了对设备访问和网络防火墙的细粒度控制。此功能使他们能够从单个控制台轻松管理整个企业网络。
• RESTful API：SentinelOne 提供丰富的 RESTful API，可以与其他服务和工具无缝集成。这使企业能够在其更广泛的安全堆栈中利用 SentinelOne 的强大功能。

IBM Security 的QRadar XDR提供了市场上最全面、最开放的威胁检测和响应解决方案之一。AI 驱动的调查使安全分析师能够快速调查已识别事件的原因和范围，以提高运营效率。QRadar XDR 还利用 X-Force Threat Intelligence 平台共享安全研究、汇总情报并与同行协作，以提高准确性和敏捷性，抵御不断变化的网络犯罪活动。

QRadar XDR主要功能：

• MITRE ATT&CK 框架：QRadar XDR 的设计基于 MITRE 框架，它提供了一种通用语言来描述当前威胁情报信息中的行动和策略。
• IBM QRadar XDR Connect：IBM QRadar XDR Connect 是一个基于 Web 的仪表板，允许安全团队通过一个简单的界面轻松查看和管理所有端点。此功能提供对每个设备的状态、运行状况和配置的集中可见性，从而实现更高效的事件响应和补救工作。
• IBM QRadar SIEM：QRadar SIEM 为实时威胁检测和响应提供智能安全分析。它还与 XDR 无缝配对，在攻击的每个阶段跟踪恶意活动。
• IBM QRadar NDR：QRadar NDR 是下一代网络入侵检测和预防解决方案，可让用户检测、调查和阻止整个网络中的威胁。
• IBM QRadar SOAR：这个智能安全编排、自动化和响应平台使用户能够自动化事件响应任务，与其他工具集成，并管理整个企业的安全异常。
• Randori Recon：Randori Recon 是一个强大的威胁情报工具，允许用户发现未知数并减少攻击面。
• IBM Security ReaQta：这个 AI 统一威胁情报平台可实时洞察所有端点设备的状态和健康状况。

ExtraHop

ExtraHop的动态网络防御平台 Reveal(x) 360 为组织提供了对其基础设施、工作负载和动态数据的可见性。Reveal(x) 360应用云级 AI，每天监控 PB 级流量，执行线速解密和综合行为分析，以检测可疑活动并寻找高级威胁。ExtraHop XDR 多次被 IDC 和 Gartner 等研究公司公认为网络检测和响应领域的市场领导者。

Reveal(x) 360主要功能：

• 跨多个环境工作：ExtraHop XDR 是一个完全云原生的平台，允许用户检测和响应整个环境中的威胁。这包括本地网络、公共云服务、软件即服务 (SaaS) 应用程序等。
• 基于云的记录存储和90天回溯：ExtraHop XDR 平台的内置存储让用户可以执行简化的事件调查。用户还可以设置警报并对检测到的威胁采取自动操作，让他们完全控制自己的安全状况。
• 360 传感器：360 传感器为所有端点提供实时网络数据流，因此用户可以在威胁出现时检测到它们。
• 实时流处理：ExtraHop XDR 强大的数据处理引擎执行实时流处理以检测异常活动并准确查明恶意行为。
• MITRE ATT&CK Enterprise Matrix：ExtraHop 的 MITRE ATT&CK 企业矩阵为用户提供了其安全状况的完整视图，并帮助他们检测勒索软件、僵尸网络、未经授权的数据访问等。
• 机器学习和全球情报：ExtraHop XDR 结合使用机器学习算法和全球威胁情报，帮助用户检测新兴威胁。

Sophos

Sophos Intercept X是下一代端点安全解决方案，结合了深度学习和无签名攻击防御，可保护设备免受最新威胁的侵害。

Sophos Intercept X主要功能：

• 深度学习能力：Sophos Intercept X 有别于其他端点安全解决方案的一件事是它的深度学习能力，它允许软件不断发展并适应新的威胁。
• 反勒索软件技术：该技术使用基于行为的检测来识别勒索软件攻击并在它们加密您的数据之前阻止它们。它还包括一个文件信誉系统，可根据已知恶意文件数据库检查文件。如果发现一个文件是恶意的，它会在它造成任何损害之前被阻止。
• 无签名漏洞预防：该技术使用机器学习来检测和阻止最复杂的漏洞利用。它还包括一个应用程序控制模块，允许用户允许或阻止某些应用程序。这确保只有批准的应用程序才能在系统上运行，进一步保护它免受攻击。
• 根本原因分析：如果用户确实成为网络攻击的受害者，Sophos Intercept X 可以通过其根本原因分析功能帮助他们弄清楚攻击是如何发生的。这使用户可以准确地看到出了什么问题，因此他们可以采取措施防止将来再次发生这种情况。
• 托管检测和响应：Sophos Intercept X 提供托管检测和响应服务，监控系统中的威胁并解决出现的任何问题。

趋势科技（Trend Micro）

趋势科技 XDR 是一个跨多个安全层收集和关联数据的XDR平台。它被 Forrester New Wave 评为领导者。

趋势科技 XDR主要功能：

• MITRE Attack Framework：Trend Micro Vision One 的关键特性之一是它建立在 MITRE ATT&CK 框架之上。在最近针对 Wizard Spider 和 Sandworm 攻击群体的 MITRE ATT&CK 评估中，该工具在确保早期攻击预防的保护类别中排名第一。
• 转发警报的 SIEM 连接器：Trend Micro Vision One 的 SIEM 连接器允许用户将警报转发到他们的 SIEM 系统。这种集成通过将来自多个来源的数据整合到一个平台中，提供了组织安全状况的完整画面。
• 动态攻击面风险管理：趋势科技的动态攻击面风险管理是一项持续监控组织攻击面变化的功能。它使用来自 SIEM、防火墙、端点和其他来源的数据来识别风险和漏洞。DASRM 还包括一个风险评分系统，可以对每个风险的严重程度进行评级，因此用户可以优先考虑首先解决哪些风险。
• 直观的威胁检测、调查和响应：趋势科技的 XDR 平台旨在直观且易于使用。它包含各种功能，可使威胁检测、调查和响应更快、更高效。
• 高级工作流和自动化工具：它包括高级工作流和自动化工具，例如 Security Playbooks 和 Sandbox Analysis，以帮助用户简化调查流程和应对威胁。

Palo Alto

Palo Alto 的 Cortex XDR是一种端点安全解决方案，承诺通过集成来自任何来源（包括端点、网络、云应用程序和用户活动）的数据来检测和调查事件，从而阻止攻击。人工智能引擎处理这些数据以识别可疑行为和异常。安全人员可以使用 PowerQuery 分析平台快速了解根本原因，并在检测到事件时采取适当的措施。

Cortex XDR主要功能：

• 基于 AI 的威胁检测：Cortex XDR 基于 AI 的威胁检测使用机器学习来不断发展和提高其检测和防御新威胁的能力。
• 基于范围的访问控制：此功能允许安全团队准确指定用户可以访问哪些数据和应用程序。这是防止未经授权访问敏感数据并确保只有授权用户才能访问他们需要的信息的方式。
• 分析引擎：Cortex XDR 还包括强大的分析功能，允许用户快速轻松地运行数据查询以发现趋势和模式。这是快速理解大量数据的工具。
• Managed Threat-Hunting Service：该服务在识别和调查潜在威胁方面提供专业帮助。对于没有内部资源专门用于威胁搜索的企业来说，这是一个很好的选择。
• 自动根本原因分析：Cortex XDR 包括自动根本原因分析。它可以自动识别安全事件的根本原因并提供修复。

目前国内XDR还处于早期探索阶段，仅有少数安全厂商发布了基于XDR的应用，例如未来智安、亚信安全。整体来看，XDR虽然是一个将多个安全产品整合到一起的解决方案，是未来安全运营的一种思路，但是能不能最大化地发挥其效果，还是要结合企业自身的实际情况来看。