未来智安XDR扩展威胁检测响应系统_网络安全检测_自动化安全运营服务-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

未来智安 XDR扩展威胁检测响应系统

未来智安 XDR扩展威胁检测响应系统（Extended Detection and Response），一般指扩展威胁检测和响应产品，专注于为客户提供精准全面的网络安全检测、高效自动化的安全运营服务和解决方案。

立即咨询

首页

数字化产品

安全运营

未来智安 XDR扩展威胁检测响应系统 icon

未来智安XDR具备全面的终端和流量攻击检测能力，XDR平台智能化事件分析引擎（AiE）自动将每天千万级零散告警生成几十条完整攻击事件，攻击检测有效性提升百倍以上。XDR平台自动化安全编排技术（SOAR）实现事件响应处置的高效自动化，可将威胁事件运营效率从过去小时级提高到分钟级，运营效率提升8倍以上。未来智安XDR平台是攻防演习、重保、平时威胁检测和运营的全面精准、高效的轻量化产品。

核心能力

多源异构数据

通过数据接入总线，支持接入企业侧不同的安全产品。信息化系统产生的业务数据，安全数据。

异构数据治理

从数据接入到数据治理支持在线无码方式进行数据接入和治理，对各类异构数据进行标准化治理、归类。

关联分析建模

围绕分析检测与与满源，支持对基于异构数据进行关联关系建模。打破数据分析孤岛，基于异构数据主动绘制攻击图谱。

威胁检测

未来智安XDR平台内置基于主机的EDR检测能力与基于流量的NDR威胁检测能力，同时基于XDR云端平台的前置CEP流式实时检测引擎和基于高线的场景化检测能力。

威胁狩猎

基于多维度拓线关联分析技术。可从任意类型告警作为线头输入成人工圈定攻击假设进行威胁狩猎，分析和挖据企业侧网络攻击事件。

攻击事件挖掘

传统安全设备存在大量告警，大量低质量告警，告警偏向无序与零散,未来智安XDR通过告警治理，从告警类型。攻击来源、受害者等多纬度结合ATT&CK进行告警到攻击事件提升。

作战指挥

在实战化攻击趋势下，网络攻击手法瞬息万变。有序高效的现场作战斗指挥往往能提升攻击检测与防御效率。未来智安提供作战指挥室,支持根据不同攻击事件，不同角色进行任务分配与协调。

协同防御

安全不是靠一个产品和能力,安全产品往往存在不同防御阵地和边界以及机觉盲点,未来智安XDR从底层提供安全能力注册接入和手动接入及内置部分国内安全厂商设备能力。通过编排实现半主动协助决策或全自动处置能力实现联防联控。

IACD自适应防御

落实中台化安全战略，赋能企业从安全设备元数据标准化。安全能力标准化(实现网络防御功能的命令和控制的规范)协助企业构建白身安全生态，并逐步趋向于与安全设备的.x0008COTS标准。落实可骗律的OODA。最终完善IACD。

产品能力

XDR平台

基于分布式存储架构，通过异构数据接入及多元数据治理技术对 EDR、NDR 平台上报的主机日志、主机审计日志、流量日志及告警进行存储，并提供搜索、展示和分析能力，依托标准化治理之后的数据进行关联分析、威胁情报检测等威胁发现；通过威胁告警及异构数据关联建模回溯完整攻击事件，基于完整攻击事件分析、提取攻击线索、评估攻击事件的影响面等。总体而言 XDR 平台聚焦威胁检测与响应，是一个基于安全中台构建的开放、可扩展的安全检测与响应平台，可连接生态中的安全组件数据，通过可插拔的能力模块和技术，实现跨网络、终端的统一可视、威胁发现，自动化分析溯源，统一作战指挥和协同响应处置。

EDR组件

由轻量级的主机 Agent 及后端管理控制台构成，通过部署在服务器或主机侧监控和记录终端的系统运行日志、系统审计日志，使用各种主机入侵检测及防病毒检测技术及基于异常行为分析技术检测发现可疑行为并记录和上报相关上下文信息、阻止恶意活动以及提供修复建议以恢复受影响系统的解决方案。Agent 支持运行在 windows、linux 等主流操作系统，支持秒级的资产数据采集并在控制台快速构建目标主机的资产结构。资产采集能力包括操作系统版本，内核版本，软件包版本，运行服务版本，进程相关信息、数据库等，控制台核心能力包括资产清点、风险发现、入侵检测、合规基线、安全日志等。

NDR组件

通过部署在系统中的核心网络节点上，采用侦听网络数据包的方法将网络流量捕获并进行协议解码还原出真实流量，提取网络层、传输层和应用层的头部信息及流量中重要的负载信息。支持常 IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN 的数据包解码；支持HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2, SIP, SNMP, RDP 等几十种协议解析还原能力。支持TCP/UDP 会话记录、异常流量会话记录、web 访问记录、域名解析、SQL 访问记录、邮件行为、登录情况、文件传输、FTP 控制通道、SSL 加密协商、telnet 行为、IM 通信等行为描述。

SOAR与作战指挥室组件

SOAR 组件可快速构建针对不同威胁场景的分析、核实及处置流程的安全运营预案，并支持自动或半自动的触发执行，支持对安全日志、告警的自动化分析，支持分析规则及分析逻辑的动态添加、编辑和流程编排，攻击事件的提取及不同场景的逻辑处理，通过工单推送实现安全能力的集成与自动化。作战指挥室组件是围绕 HW 等典型场景提供跨角色的统一工作协同界面，可进行攻击事件的分配、协调，提高安全事件的调查和响应效率，通过告警或安全事件触发创建统一的安全事件运维或调度平面，用于管理、调度或派发针对某一安全事件的运维全生命周期工作安排，如记录、处理、跟踪由系统发起的各项工作的执行情况。

产品架构

XDR是一个可扩展的开放式安全平台，可连接生态中的安全组件数据，通过可插拔的能力模块和技术，实现跨网络、终端的统一可视威胁发现，自动化分析溯源，统一作战指挥和协同响应处置。构建“全面、高效、低成本”的威胁检测和处置体系。

XDR 基于 EDR 和 NDR 组件上报日志、告警和资产数据，通过数据接入总线汇集后进行统一分析富化处理并形成事件，支持与第三方安全产品无缝对接实现安全数据共享，基于自研的跨终端、跨网络、多数据纬度的攻击事件(Incident)挖掘引擎形成完整、有效的安全事件，完整回溯攻击链，通过 SOAR、WarRoom 对事件进行在线协同处置。

EDR 组件通过主机侧的轻量级 Agent 程序，实现日志和资产数据的秒级采集，利用入侵检测、病毒检测技术、异常行为分析检测发现可疑行为，进行阻止或提供修复建议；基于采集的资产数据，快速进行各类信息资产的可视化清点、生成受害者画像。

NDR 组件通过旁路部署捕获网络流量数据，对网络层通信协议、应用层协议、自定义协议以及数据库协议进行检测和解析，通过分析 TCP/UDP 会话记录、异常流量会话记录、web 访问记录、域名解析、SQL 访问记录、邮件行为、登录情况、文件传输、FTP 控制通道、SSL 加密协商、telnet 行为、IM 通信等行为识别网络威胁；支持 IPv4 和 IPv6 网络。

产品价值

针对主机和流量告警数据的融合有效治理

未来智安XDR数据治理模块支持异构数据的接入，支持利用统一数据接入总线完成数据源管理、数据字典、数据结构及接入策略定义，未来智安XDR支持接入EDR、NDR及其他异构安全设备的数据并进行统一管理。支持多元异构数据的统一展示、分析、检索及利用治理后的数据进行攻击检测、告警及攻击事件的关联分析。

针对告警多,误报多的有效治理

未来智安XDR告警治理引擎从核实告警、降告警、提升告警质量、降低告警误报率出发利用资产关联、不同安全设备间的数据进行告警的数据互补、互纠完成告警核实、告警Alert到攻击事件Incident的提升，降低告警的数量。同时利用SOAR技术针对不同类型的威胁告警进行告警的自动化分析核实及告警的归并，从而有效的降低告警量、降低告警的误报率。

针对网络攻击分析溯源能力的提升

针对网络攻击分析溯源难问题，未来智安XDR基于自研的告警治理引擎，利用主机侧EDR、流量侧NDR及相关资产数据围绕攻击链完成攻击事件回溯。可基于未来智安XDR回溯的攻击事件Incident出发进行攻击事件的调查分析，攻击事件Incident提供了多纬度的攻击线索，可围绕攻击线索进行攻击行为上下文分析、进程链分析等操作大大提高了攻击溯源效率和溯源难的问题。

针对网络攻击事件的处置效率提升

未来智安XDR针对网络攻击处置效率底问题，除了利用告警治理引擎实现告警的核实、降低告警的误报之外，还提供了基于SOAR的安排编排与自动化响应处置能力，可利用SOAR完成不同攻击类型、不同攻击场景的告警及攻击事件的应急预案，通过任务编排的方式以自动化或半自动化的运行，提高攻击事件的处置效率。另外未来智安XDR还提供了作战指挥室，作战指挥室提供统一的协同工作界面，可高效的进行攻击事件调查任务的派发、多人协同调查，可在作战指挥室中调用以存在的SOAR预案进行快捷操作。未来智安XDR可降低人工运维压力，减少安全运维成本。

针对资产提供细粒度监控和全局安全感知能力

未来智安XDR资产感知模块对资产进行统一、全面的管控。利用EDR上报主机资产及流量侧的资产发现及人工添加资产等多渠道进行资产的管理，同时利用EDR进行主机资产的自动梳理，从主机侧的内部账户、进程、网络连接、Web站点、Web应用、数据库、环境变量等多种类型资产进行细粒度的管理和监控，支持自定义资产定义并自动识别出发生变更的业务资产的安全风险，随时跟踪资产风险，争强企业侧资产安全感知能力。

应用场景

场景一：重保演习快速响应

实时关联零散告警为完整事件，快速定位攻击入口、锁定关键线索，帮助企业以全局事件视角掌握攻击进展和受害资产情况，通过 SOAR 自动化安全编排及时排查风险点、切断传播路径，提升安全运营效率。

场景二：网络风险自纠自查

全天候自动化梳理安全状况，发现安全隐患，为企业自查、整改提供完整解决方案。

场景三：合规基线梳理

支持等保、CIS 等多个合规管理要求，覆盖各类系统及应用，实现控制台一键触发检测，帮助客户动态了解基线合规状况和安全态势。

场景四：日常高效安全运营

为运营人员提供 SOAR 安全编排工作流，通过 War Room 统一调度指挥，制定入侵防护方案，助力企业建立高效的安全防御与响应体系。

部署方案

XDR平台通过旁路部署在客户核心交换机，采用流量镜像的方式采集流量数据，通过部署在终端的Agent 采集主机日志统一汇聚至 XDR 平台，通过安全控制终端访问并开展安全运营工作。