本文介绍了XDR(扩展检测和响应)的核心能力,包括数据采集、分析、检测和响应,强调了XDR在提升威胁检测和调查能力方面的重要性。XDR通过接入任意数据源和端点,扩展了检测和响应的范围。关键技术和架构涉及数据融合、关联分析、机器学习和安全剧本编排,旨在构建安全运营闭环,提高安全运营效率和防御能力。
7月21日,【网安新视界】第一季第二课开讲,极盾科技CTO郑冬东带来了独家分享——《XDR的建设方案、架构和技术栈》。(下文整理自分享实录,仅撷取部分精华)
2018年,Palo Alto最早提出XDR的概念。从概念中可以看出,XDR的价值是为了提升威胁的检测和调查的能力。
此后几年里,国外各大安全厂商也在默默摸索与实践。直到2020年,Gartner首次把XDR作为第一大安全趋势,它提出了XDR是作为“提高检测准确性,并提高安全运营效率和生产率”的这么一个平台。
自此,XDR算是在国外有了名正言顺的名字和位置了。我们回到XDR这个名字本身去寻找定义,通常名字就是对定义的一个最好解释。
先来看最后两个字母,D:Detection,检测;R:Response,响应。我们知道,对任何安全产品而言,快速检测和响应都是永恒的目的,XDR也不例外。
那“X”又是什么呢?
“X”在很多地方是代表一个变量、未知、任意的意思,XDR里的“X”也有这层含义,代表着任意的数据源、端点。意味着 XDR可以接入任意的数据源、端点。
“X”还有一层含义,就是eXtended,扩展的意思。扩展了什么?通过接入各个端点,相互关联检测与响应,扩展了各个端点的检测和响应的能力。
基于此,我们对XDR核心能力做了总结,分别是:采集、分析、检测和响应。
最低0.47元/天 解锁文章
扫一扫
749
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
