網(wǎng)絡(luò)基礎(chǔ)安全XDR擴(kuò)展檢測(cè)響應(yīng)平臺(tái)PAGEPAGE100目錄序言 6第一章概述 9安全行業(yè)發(fā)展背景 9XDR的概念與構(gòu)成 11XDR的核心能力 12XDR的發(fā)展歷程及趨勢(shì) 13第二章前端感應(yīng)器能力 142.1終端檢測(cè)與響應(yīng) 14云工作負(fù)載防護(hù)平臺(tái) 23網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng) 29安全網(wǎng)關(guān) 375郵件安全網(wǎng)關(guān) 39身份識(shí)別與訪問(wèn)管理 42蜜罐與沙箱 44第三章后端能力 49威脅情報(bào) 49數(shù)據(jù)湖 52AI引擎分析 57高級(jí)威脅分析引擎 645無(wú)代碼自動(dòng)化編排劇本 66API中心 75CICD 82第四章生態(tài)現(xiàn)狀洞察 85數(shù)字化評(píng)價(jià)指標(biāo)與可視化 85XDR與態(tài)勢(shì)感知平臺(tái)的關(guān)系 95XDR與SIEM平臺(tái)的關(guān)系 98XDR生態(tài) 102XDR與MSS 104XDRaaS 107第五章實(shí)踐案例分享 1085.1大型企業(yè)XDR實(shí)踐案例分享 108第一章概述安全行業(yè)發(fā)展背景208040（礦等（APT等發(fā)展。2090ISS提出了防護(hù)、檢測(cè)和響應(yīng)的安全閉（PDR模型略等手段形成快速抵御威脅的能力。圖1-1PDR模型PDR模型中，“檢測(cè)”受限于當(dāng)時(shí)的技術(shù)發(fā)展水平，更多強(qiáng)調(diào)基于著各類高隱蔽性、高復(fù)雜度的新型威脅的環(huán)境。2014年，各大國(guó)際知名安全機(jī)構(gòu)紛紛發(fā)布新的安全理念模型，旨在幫助安全行業(yè)更積極地應(yīng)對(duì)新型威脅的挑戰(zhàn)。SANS提出的網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型著重NIST發(fā)布的（IPDRR）PDRarter圖1-2自適應(yīng)安全框架（ASA）3.0與信任評(píng)估影響極其深遠(yuǎn)，也推動(dòng)了諸多安全產(chǎn)品和相關(guān)技術(shù)的發(fā)展演進(jìn)。以下一代防火墻的技術(shù)發(fā)展為例，早期的下一代防火墻中雖然集成了各種2-7AI10年間，許多新的安全產(chǎn)品不斷涌現(xiàn)，例如安全態(tài)勢(shì)感知（SA）、終（SOAR）應(yīng)運(yùn)而生。XDR的概念與構(gòu)成GartnerXDR的定義，XDRSaaS的、特定于供應(yīng)商的安XDR端包含了終端檢測(cè)與響應(yīng)、云工作負(fù)載防護(hù)平臺(tái)、網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)、AI化編排劇本、API注冊(cè)與編排、持續(xù)集成和持續(xù)部署(CICD)等。XDR的核心能力作為一類技術(shù)路徑，XDRGartnerInnovationInsightforExtendedDetectionandResponseXDR10及情報(bào)的生產(chǎn)和共享。但XDR的定位出發(fā)，可以認(rèn)為有3種技術(shù)的重要性最為突出：全面的遙測(cè)數(shù)據(jù)采集XDR也是威脅關(guān)聯(lián)分析、精準(zhǔn)響應(yīng)與處置不可或缺的基礎(chǔ)。高級(jí)威脅狩獵XDRXDR必須提供基于攻擊技戰(zhàn)術(shù)的行為檢測(cè)能力——AI或者機(jī)器學(xué)習(xí)的方式，以多維檢測(cè)形成合力，方能應(yīng)對(duì)各種復(fù)雜場(chǎng)景下的攻擊威脅。自動(dòng)化響應(yīng)MTTR。XDR的發(fā)展歷程及趨勢(shì)XDR發(fā)展至今，主要經(jīng)過(guò)了以下四個(gè)階段。2014EDRGartner十大技術(shù)，區(qū)別御”。EDR作為終端安全產(chǎn)品，相對(duì)輕量、便捷。IDS特征庫(kù)往往會(huì)根據(jù)業(yè)務(wù)和資產(chǎn)情況進(jìn)IDSNDR業(yè)所面臨的安全風(fēng)險(xiǎn)逐步和自身所具備的安全資源和能力發(fā)展不足形成了巨大的落差。Gartner2016MDR（可管理的威脅檢測(cè)與響應(yīng)），MDR為安自身的能力和資源。MDR通過(guò)安全運(yùn)營(yíng)，聯(lián)動(dòng)網(wǎng)絡(luò)中其他服務(wù)供應(yīng)商提供的不高了響應(yīng)速度。階段四，更高效的運(yùn)營(yíng)和更精準(zhǔn)的檢測(cè)。2018GartnerEPPEDRUEBA（用戶行為分析）并列統(tǒng)稱為“檢測(cè)和響應(yīng)項(xiàng)目”。這一趨勢(shì)預(yù)示2020XDRGartner九大安Gartner的定義，XDR是指特定供應(yīng)商提供的威脅檢測(cè)和事件響應(yīng)是整合性的產(chǎn)品組合和并具有更精準(zhǔn)的檢測(cè)能力。XDR將持續(xù)發(fā)展，我們預(yù)計(jì)有以下趨勢(shì)：其一、擴(kuò)大安全監(jiān)測(cè)和響應(yīng)的范圍。XDRXDR項(xiàng)目來(lái)推動(dòng)不同安全產(chǎn)品、安全廠家之間存在的互相聯(lián)動(dòng)等問(wèn)題。將融合廣泛的安全能力和新型的信息化XDR的未來(lái)需要各個(gè)安全廠家和機(jī)構(gòu)的共同參與和努力。第二章前端感應(yīng)器能力2.1終端檢測(cè)與響應(yīng)EDR的概念隨著威脅攻擊的專業(yè)化，APT等定向高級(jí)別攻擊案例也越來(lái)越多，APT攻擊APT結(jié)合的攻擊APT傳統(tǒng)的終端安全解決方案EPP是基于已知風(fēng)險(xiǎn)產(chǎn)出的文件特征庫(kù)和規(guī)則庫(kù)，無(wú)法用于檢測(cè)未知風(fēng)險(xiǎn)。不同于傳統(tǒng)的簽名檢測(cè)或啟發(fā)式技術(shù)，EDR通過(guò)觀察攻擊行為將檢測(cè)技術(shù)提升到新的層次，能真正解決終端安全所面臨的APT、0day的終端安全解決方案。EDREDRSaaS化和智能化四個(gè)等EDR場(chǎng)景，終端能夠?qū)⑹占降腅DRSaaS服務(wù)的模式提供安全大數(shù)據(jù)EDR核心價(jià)值EDR的核心價(jià)值在于：1、快速偵測(cè)與自動(dòng)化響應(yīng)EDR的基礎(chǔ)。對(duì)于安全運(yùn)營(yíng)EDR帶來(lái)的最核心的價(jià)值。而自動(dòng)化響應(yīng)能力則會(huì)進(jìn)一步加快針對(duì)威脅的處置的速度，降低安全隱患。2、主動(dòng)檢測(cè)未知威脅傳統(tǒng)意義上的終端防護(hù)是通過(guò)將攻擊模式與已知威脅的特征庫(kù)進(jìn)行比對(duì)從而發(fā)現(xiàn)安全威脅；因此幾乎不具備對(duì)于未知威脅和潛在的APT攻擊的抵御能力。EDR對(duì)于終端進(jìn)行了更全面的數(shù)據(jù)采集，進(jìn)一步加強(qiáng)了可見性。通過(guò)對(duì)這些數(shù)據(jù)的的關(guān)聯(lián)分析，EDR具備了一定的預(yù)判能力，從而能夠主動(dòng)發(fā)現(xiàn)未知的安全威脅甚至應(yīng)對(duì)APT攻擊。因此市場(chǎng)上的EDR解決方案通常也都具有威脅情報(bào)、機(jī)器學(xué)習(xí)以及更高級(jí)的文件分析能力。云化的EDR則擁有了更廣闊的視野和更強(qiáng)大的頭腦，對(duì)未知威脅的偵測(cè)能力也就更加強(qiáng)大。3、簡(jiǎn)化管理EDR編排劇本IT運(yùn)維和安全管理都提供了便利。XDRXDR解決方案中，EDREDRXDRXDRXDR面梳理，以及風(fēng)險(xiǎn)管理。EDR核心能力1、數(shù)據(jù)采集EDRSaaSEDR管在云端。EDREDR矩陣的技戰(zhàn)術(shù)是數(shù)據(jù)采集標(biāo)準(zhǔn)的重要參考。EDRXDR解決方案下要求數(shù)據(jù)格式“統(tǒng)一”，XDR整體解決方案提出了挑戰(zhàn)。企業(yè)在EDREDR產(chǎn)品能夠和多個(gè)不同安全廠商進(jìn)行數(shù)據(jù)對(duì)接，同時(shí)輸出的數(shù)據(jù)也應(yīng)不同部署形態(tài)對(duì)數(shù)據(jù)采集能力上也略有差異。本地化部署的XDR平臺(tái)相對(duì)SaaS-EDR來(lái)說(shuō)，前者對(duì)數(shù)據(jù)傳輸帶寬小，傳輸安全性相對(duì)較低，后者則相反。2、入侵檢測(cè)EDR的入侵檢測(cè)能力，旨在根據(jù)動(dòng)態(tài)行為進(jìn)行異常登錄檢測(cè)、口令暴力破解、擊及新型未知攻擊的持續(xù)檢測(cè)。眾所周知（全稱AdversarialandCommonKnowledge情報(bào)分析、威脅狩獵、.書中所述“知己知彼,百戰(zhàn)不殆已成為安全業(yè)界通用語(yǔ)言，其框架已成為安全業(yè)界標(biāo)準(zhǔn)。圖11IP、域名、哈希和靜態(tài)特征碼等低級(jí)威脅指標(biāo)(IOC，IndicatorofCompromise)的認(rèn)知，讓安全業(yè)界從行為視角來(lái)看待攻擊者和防御措施，即攻擊指標(biāo)(IOA，IndicatorofAttack)，旨在描述攻擊者所使用的攻擊戰(zhàn)術(shù)、技術(shù)和過(guò)程(TTP，TacticsandProcedures)的方法。企業(yè)ATT&CK(v10)1414種戰(zhàn)術(shù)指導(dǎo)思想(v9開始增加)TTPEDR使用高級(jí)分析和機(jī)器學(xué)習(xí)算法，在已知威脅或可疑活動(dòng)發(fā)生之前實(shí)時(shí)識(shí)別指示這些活動(dòng)的模式。一般來(lái)講，EDR會(huì)查找兩種類型的跡象：感染跡象(IOC)（即與潛在攻擊或違規(guī)行為一致的操作或事件）以及攻擊跡象(IOA)（即與已知網(wǎng)絡(luò)威脅或網(wǎng)絡(luò)犯罪分子相關(guān)的行動(dòng)或事件）。為了識(shí)別這些跡象，EDR會(huì)將自己的終端數(shù)據(jù)與來(lái)自威脅情報(bào)服務(wù)的數(shù)據(jù)實(shí)時(shí)關(guān)聯(lián)，而威脅情報(bào)服務(wù)會(huì)提供關(guān)于最新網(wǎng)絡(luò)威脅的持續(xù)更新信息-它們使用的策略、它們利用的終端或IT基礎(chǔ)架構(gòu)漏洞等等。威脅情報(bào)服務(wù)可以是專由EDR提供商運(yùn)營(yíng)Mitre。EDR分析和算法還可以自行執(zhí)行偵查，將實(shí)時(shí)數(shù)據(jù)與歷史數(shù)據(jù)和已建立的安全事件或威脅的內(nèi)容。這些算法還可以將"信號(hào)"或合法威脅與誤報(bào)的"噪音"區(qū)分開來(lái)，以便安全分析師可以專注于重要的事件。EDRXDRXDR在終端上的威脅檢測(cè)能力不全問(wèn)題，為后續(xù)的事件分析、溯源取證提供分析線頭等。3、脆弱性檢測(cè)在信息安全技術(shù)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T20984-2018標(biāo)準(zhǔn)》中對(duì)于脆EDREDR擊。EDRXDR資產(chǎn)風(fēng)險(xiǎn)管理提供數(shù)據(jù)支持。4、威脅響應(yīng)EDREDR結(jié)合，更好脅在網(wǎng)絡(luò)中擴(kuò)散到主機(jī)最為關(guān)鍵。的端點(diǎn)上，也更利于企業(yè)在事后進(jìn)行追蹤溯源。EDR的分析能力與策略配置能力也提出了一定的要求。EDR通過(guò)自動(dòng)化技術(shù)引入"響應(yīng)"機(jī)制（實(shí)際上是"快速響應(yīng)"）。根據(jù)安全或機(jī)器學(xué)習(xí)算法隨時(shí)間推移"學(xué)習(xí)"的規(guī)則方案可以自動(dòng)提醒安全分析人員注意特定威脅或可疑活動(dòng)根據(jù)嚴(yán)重性對(duì)警報(bào)進(jìn)行分類或劃分優(yōu)先級(jí)生成"追溯"報(bào)告，以跟蹤事件或威脅在網(wǎng)絡(luò)上的完整軌跡，一直追溯到其根本原因斷開終端設(shè)備的連接，或從網(wǎng)絡(luò)注銷最終用戶停止系統(tǒng)或終端進(jìn)程阻止端點(diǎn)執(zhí)行惡意/可疑文件或電子郵件附件觸發(fā)防病毒軟件或反惡意軟件，以掃描網(wǎng)絡(luò)上的其他終端來(lái)查找相同的威脅EDRSOAR（安全編排與自動(dòng)化響應(yīng)地響應(yīng)事件和威脅，最大限度地減小它們對(duì)網(wǎng)絡(luò)造成的損害。EDR的響應(yīng)能力對(duì)于XDR來(lái)說(shuō)非常重要，XDR通過(guò)調(diào)用EDR提供的響應(yīng)能力實(shí)現(xiàn)快速的進(jìn)程查殺、文件隔離、IP封禁等處置動(dòng)作。5、威脅狩獵威脅狩獵者可以使用各種策略和方法，其中大多數(shù)策略和方法都依賴于EDR或者搜索用于描述特定攻擊者方法的MITRE數(shù)據(jù)。EDR可通過(guò)I進(jìn)行其他調(diào)查。專用于威脅狩獵的EDR工具包括從簡(jiǎn)單腳本語(yǔ)言（用于自動(dòng)執(zhí)行常見任務(wù)）到自然語(yǔ)言查詢工具的所有工具。EDRXDRXDR支持和能力支持。EDR應(yīng)用場(chǎng)景1、安全風(fēng)險(xiǎn)態(tài)勢(shì)管理場(chǎng)景行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)趨勢(shì)分析。2是其中不可或缺的重要組件。EDR3、虛擬化、云場(chǎng)景下的安全防護(hù)場(chǎng)景EDREDR示，可以實(shí)現(xiàn)云主機(jī)流量的可視化，阻斷非法訪問(wèn)、隔離失陷云主機(jī)。4、工業(yè)互聯(lián)網(wǎng)安全防護(hù)場(chǎng)景5、車聯(lián)網(wǎng)安全防護(hù)場(chǎng)景風(fēng)險(xiǎn)預(yù)警及安全風(fēng)險(xiǎn)的及時(shí)響應(yīng)，實(shí)現(xiàn)對(duì)車聯(lián)網(wǎng)終端的安全管控。云工作負(fù)載防護(hù)平臺(tái)CWPP定義云工作負(fù)載保護(hù)平臺(tái)（CloudWorkloadProtectionPlatform）CWPP，其Gartner2016CWPP部署模式CWPP產(chǎn)品一般采用“輕量級(jí)探針+統(tǒng)一安全中心+Web控制臺(tái)”的架構(gòu)，為用戶提供事前風(fēng)險(xiǎn)發(fā)現(xiàn)、事中入侵檢測(cè)、事后追蹤溯源的能力。Webshellshell，異常進(jìn)程以及病毒木馬等入侵行為；Web控制臺(tái)：以可視化的管理界面和用戶進(jìn)行交互，通過(guò)數(shù)據(jù)分析以及圖形化展示等方式為用戶提供實(shí)時(shí)的風(fēng)險(xiǎn)態(tài)勢(shì)以及集中管理的能力。適用場(chǎng)景CWPP戶提供針對(duì)服務(wù)側(cè)各種工作負(fù)載全生命周期的防護(hù)以及安全管理能力。CWPP與XDR的對(duì)接X(jué)DRXDR需要從數(shù)據(jù)采集、檢測(cè)與響應(yīng)方面保持一致性，主要包含如下三個(gè)方面。采集：CWPP采集工作負(fù)載側(cè)的主機(jī)信息、日志以及威脅等信息，上報(bào)到XDR平臺(tái)的統(tǒng)一安全分析中心。檢測(cè)：XDR后端平臺(tái)組件進(jìn)行內(nèi)部（資產(chǎn)、漏洞等）、外部（流量、日志）等多源安全告警進(jìn)行關(guān)聯(lián)分析、規(guī)則分析以及情報(bào)分析，發(fā)現(xiàn)潛在的威脅。響應(yīng)：XDRCWPP時(shí)下發(fā)通知告警，并在必要時(shí)自動(dòng)下發(fā)阻斷策略，及時(shí)完成安全閉環(huán)。風(fēng)險(xiǎn)感知能力CWPPGartnerCWPP能力金字塔（2-X所示）來(lái)看，從最基礎(chǔ)的加固、配CWPP的風(fēng)險(xiǎn)感知能力。圖2-2CWPP能力金字塔CWPP基于漏洞的攻擊數(shù)量一直居高不下，而最常見的最嚴(yán)重的漏洞就是系統(tǒng)漏洞和需要支持基于資產(chǎn)掃描和在第一層的“加固、配置和漏洞管理”階段，漏洞修復(fù)主要是針對(duì)NDay漏0Day0Day漏洞從利用方式CWPP可以通過(guò)內(nèi)存防護(hù)Webshell等基于文件監(jiān)測(cè)無(wú)法識(shí)別的新型攻擊手段。對(duì)抗應(yīng)用漏洞的思路是應(yīng)用運(yùn)行時(shí)自我保護(hù)技術(shù)（RASP）。RASP是從應(yīng)用內(nèi)部對(duì)關(guān)鍵函數(shù)操作的數(shù)據(jù)RASP能減少大量的誤報(bào)和漏報(bào)問(wèn)題。基于此特性，RASP還能為安全人員和開發(fā)人員提供更為詳盡的攻Payload0Day漏洞的利用。CWPP能夠通過(guò)主動(dòng)資產(chǎn)掃描對(duì)主機(jī)上資產(chǎn)、脆弱性進(jìn)行持續(xù)掃描和評(píng)估，威脅檢測(cè)能力CWPPXDR及應(yīng)用，CWPP既可以在本地完成威脅檢測(cè)與響應(yīng)，也可以與XDR配合，通過(guò)XDRCWPP本地做出響應(yīng)。shellAPT務(wù)端威脅檢測(cè)變得越來(lái)越重要且充滿挑戰(zhàn)。為了應(yīng)對(duì)這些安全挑戰(zhàn)，作為與XDR配合的CWPP在威脅檢測(cè)方面需要具備以下關(guān)鍵能力。shell、應(yīng)用后門、內(nèi)存安全等檢測(cè)等，同樣這些檢測(cè)要能覆蓋物理機(jī)、虛機(jī)、容器等各種工作負(fù)載。APT檢測(cè)能力。技術(shù)的不斷演進(jìn)，導(dǎo)致攻防雙方都受益，0Day及這幾年泛濫的各種APTXDR幫助用戶從被動(dòng)防御轉(zhuǎn)化為主動(dòng)防御。術(shù)進(jìn)行比較和驗(yàn)證，進(jìn)一步提升威脅檢測(cè)的準(zhǔn)確率，降低誤報(bào)率。事件響應(yīng)能力達(dá)到安全組織中。事件響應(yīng)在組織安全運(yùn)營(yíng)中往往體現(xiàn)為系統(tǒng)性的流程，包括"-識(shí)別-遏制-根除-恢復(fù)-重建"等過(guò)程。圖2-3事件響應(yīng)流程事件全流程處理性，告警事件的節(jié)點(diǎn)狀態(tài)同時(shí)被存儲(chǔ)，以支持后期事件回溯。安全劇本編排可編程接口（API）和人工檢查點(diǎn)，按照一定的邏輯關(guān)系組合到一起，用以完成（Playbook）XDR平臺(tái)還提供一套XDR本身，而隱藏了具體的編程接口及其指令實(shí)現(xiàn)。聯(lián)動(dòng)響應(yīng)這種方式通過(guò)與CWPP聯(lián)動(dòng)，對(duì)應(yīng)不同告警事件調(diào)用不同的預(yù)置處置流程，給CWPP下發(fā)處理動(dòng)作完成對(duì)告警事件的處置，提升業(yè)務(wù)系統(tǒng)的安全系數(shù)，及響應(yīng)處置的速度與準(zhǔn)確性。XDRCWPPIPCWPPXDR在事件響應(yīng)上的配合，實(shí)現(xiàn)服務(wù)端威脅檢測(cè)與響應(yīng)的閉環(huán)。網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)NDR的概念NDR（NetworkDetectionandResponse）網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)，是一種基于?且能對(duì)原始??絡(luò)流量??為模型作為?絡(luò)風(fēng)險(xiǎn)?人工智能、威脅情報(bào)等）關(guān)聯(lián)分析，進(jìn)?精細(xì)化溯源定位。不僅僅是檢測(cè)威脅，還可以通過(guò)本地控制實(shí)時(shí)響應(yīng)威脅，或者支持與其他網(wǎng)絡(luò)安全工具或解決方案（如安全編排、自動(dòng)化和響應(yīng)(SOAR)）的廣泛集成。NDR與EDR的不同之處在于它不使用代理來(lái)深入了解惡意活動(dòng)，而是依賴網(wǎng)絡(luò)或虛擬分路器來(lái)分析本地和云工作負(fù)載之間的流量。NDR的價(jià)值體現(xiàn)NDRXDR體系中針對(duì)網(wǎng)絡(luò)流量采集監(jiān)控、應(yīng)急處置的前端執(zhí)行單元，負(fù)XDR后端點(diǎn)：南北向、東西向的全方向流量采集、監(jiān)控集中式、基于硬件的高性能采集隱式的旁路監(jiān)控，攻擊者無(wú)法感知是否被監(jiān)控，痕跡真實(shí)性有保障NDR（橫向流量）XDR后端強(qiáng)大的平臺(tái)能力支撐下，能夠在流量進(jìn)入網(wǎng)絡(luò)的第一常事件，并在XDR后端平臺(tái)的協(xié)同下，通過(guò)手動(dòng)或自動(dòng)的方式進(jìn)行及時(shí)有效的威脅處置。NDR核心能力流量檢測(cè)XDRXDR的能力體系中扮演著網(wǎng)絡(luò)安全維度上的一個(gè)重要角色。網(wǎng)絡(luò)威大，要想快速檢測(cè)和響應(yīng)威脅事件，亟需推進(jìn)下一代入侵檢測(cè)技術(shù)的發(fā)展。-響應(yīng)常情況過(guò)多，則有很大幾率屬于異常行為。熱點(diǎn)，其在網(wǎng)絡(luò)異常行為檢測(cè)上的應(yīng)用研究也吸引了人們的目光?；趯?duì)網(wǎng)絡(luò)流量監(jiān)控、檢測(cè)、分析，網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)技術(shù)具備了實(shí)時(shí)、因此，NDRXDRXDR系統(tǒng)在現(xiàn)網(wǎng)的網(wǎng)絡(luò)流量分析應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)。文件檢測(cè)人工智能技術(shù)的檢測(cè)四類，各檢測(cè)方式描述如下：持內(nèi)置多個(gè)反病毒引擎，多個(gè)反病毒引擎交叉檢測(cè)，可檢測(cè)包括Shellcode、Webshell動(dòng)態(tài)沙箱檢測(cè)是一種通過(guò)文件的動(dòng)態(tài)執(zhí)行行為來(lái)識(shí)別惡意文件的檢測(cè)技術(shù)，API調(diào)用等，并對(duì)這些影響進(jìn)行評(píng)估，識(shí)別對(duì)系統(tǒng)產(chǎn)生破壞的惡意文件；動(dòng)態(tài)沙Windows、AndroidLinux等類型沙箱，支持對(duì)沙箱內(nèi)樣本APT等未知網(wǎng)絡(luò)攻擊。NDR系統(tǒng)或單獨(dú)部署，形成情報(bào)中心，并將從流量中提取出的域名、IP、URLJA3、JA3SSSL惡意加密指紋檢測(cè)，輔助各行業(yè)安全運(yùn)營(yíng)人員進(jìn)行運(yùn)營(yíng)決策。基于人工智能檢測(cè)技術(shù)，結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過(guò)惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（加殼且具有快速、準(zhǔn)確率高、誤報(bào)率低、跨平臺(tái)檢測(cè)等特點(diǎn)。關(guān)聯(lián)分析XDR系統(tǒng)中，來(lái)自流量分析的安全事件與日俱增，網(wǎng)絡(luò)攻擊事件的迅猛XDR在企業(yè)應(yīng)用中能夠精準(zhǔn)捕獲礎(chǔ)。主要的關(guān)聯(lián)分析技術(shù)有如下幾類。1、基于相似性關(guān)聯(lián)件集進(jìn)行整合和歸并。IPIP一定時(shí)間窗口范圍內(nèi)對(duì)網(wǎng)絡(luò)事件進(jìn)行聚合。相似性度量策略同樣決定了關(guān)聯(lián)分夾角余弦等。此類方法需要專家知識(shí)對(duì)屬性和度量策略進(jìn)行選擇。2、基于因果性關(guān)聯(lián)事件實(shí)例按攻擊順序整合到一起，形成超類事件。1階馬爾可夫鏈。3、基于場(chǎng)景化關(guān)聯(lián)基于場(chǎng)景化關(guān)聯(lián)分析主要是先根據(jù)領(lǐng)域知識(shí)定義好一些特定的攻擊場(chǎng)景，然種技術(shù)要求較豐富的安全領(lǐng)域經(jīng)驗(yàn)。IPIP據(jù)事件整合成一個(gè)更高層次的場(chǎng)景化事件。4、基于多源數(shù)據(jù)關(guān)聯(lián)有無(wú)”，得到更完整的安全面貌。分析技術(shù)，完成基于多源數(shù)據(jù)的關(guān)聯(lián)分析任務(wù)，得到更為全面的分析結(jié)果。溯源取證施中提供強(qiáng)有力的幫助。在網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)系統(tǒng)中，探針鏡像到系統(tǒng)的原始流量數(shù)據(jù)應(yīng)當(dāng)被完整地保存下來(lái)，可使用pcap包的形式。威脅檢測(cè)模塊對(duì)流量數(shù)據(jù)進(jìn)行各類網(wǎng)絡(luò)事件的分析，得到異常事件結(jié)果?；诖?，進(jìn)行異常事件的溯源取證工作。從一個(gè)異常事件出發(fā)，選擇合適的網(wǎng)絡(luò)事件屬性，例如五元組，包括源IP、目的IP、源端口、目的端口、協(xié)議類型，到原始網(wǎng)絡(luò)流量pcap包中匹配出相應(yīng)數(shù)據(jù)，同時(shí)利用時(shí)間戳定位到具體的流量位置，將檢索到的流量數(shù)據(jù)保存下來(lái)，則可以獲得異常事件的回溯信息?；厮萘髁繑?shù)據(jù)記錄了攻擊者確切的攻擊行為、攻擊行為網(wǎng)絡(luò)數(shù)據(jù)包的原始信息，成為證明異常事件發(fā)生的重要證據(jù)。NDR/XDR中，實(shí)現(xiàn)一定程度上的自動(dòng)化溯源取證能XDR在社會(huì)與司法上的一個(gè)重要貢獻(xiàn)。NDR的應(yīng)用場(chǎng)景現(xiàn)網(wǎng)中，NDR通常應(yīng)用于云上及云下兩種場(chǎng)景。公有云環(huán)境AgentNDR探針上，以達(dá)到網(wǎng)絡(luò)威脅的NDR探針上，進(jìn)行威脅檢測(cè)與響應(yīng)。圖2-4云環(huán)境部署示意圖本地?cái)?shù)據(jù)中心本地?cái)?shù)據(jù)中心部署為通用部署方式，方式是通過(guò)鏡像、分光或分流的方式，將南北向進(jìn)出口流量或東西向橫向流量復(fù)制給NDR探針，以對(duì)網(wǎng)絡(luò)流量里存在的威脅提供檢測(cè)及應(yīng)急響應(yīng)服務(wù)。圖2-5本地環(huán)境部署示意圖安全網(wǎng)關(guān)安全網(wǎng)關(guān)的定義基線與組織、行業(yè)數(shù)據(jù)安全監(jiān)管的合規(guī)性遵從。URL信譽(yù)評(píng)分技術(shù)，用于根據(jù)指定的URL訪問(wèn)。安全網(wǎng)關(guān)的核心價(jià)值互聯(lián)網(wǎng)訪問(wèn)過(guò)濾，避免外部風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)；阻止通過(guò)互聯(lián)網(wǎng)外發(fā)機(jī)密數(shù)據(jù)造成企業(yè)的損失；提高內(nèi)網(wǎng)性能，降低網(wǎng)絡(luò)擁塞帶來(lái)的業(yè)務(wù)質(zhì)量低下，保證業(yè)務(wù)連續(xù)性并節(jié)省IT投資。一、防病毒能力HTTP/HTTPSFTPSMTPPOP3等協(xié)議流量毒的客戶端和服務(wù)器對(duì)外擴(kuò)散病毒。安全網(wǎng)關(guān)作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)惡意代碼，以查看其行為。如果檢測(cè)到惡意軟件，則網(wǎng)關(guān)將阻止它。二、Internet應(yīng)用控制和帶寬管理處理能力Internet應(yīng)用控制和帶寬管理，通常是通過(guò)對(duì)應(yīng)用數(shù)據(jù)包進(jìn)行分析，通過(guò)識(shí)4-7層的應(yīng)用管控。Internet上的許多網(wǎng)絡(luò)流量都HTTPSHTTPS流量，以便掃描流量中Internet不恰當(dāng)?shù)膽?yīng)用占用大量帶寬。三、URL過(guò)濾處理能力URL過(guò)濾的實(shí)現(xiàn)機(jī)制是將客戶端請(qǐng)求的URL與網(wǎng)關(guān)中的URL配，從而達(dá)到過(guò)濾控制的目的。httpheaderURLhttp請(qǐng)求的內(nèi)容進(jìn)行掃描。內(nèi)容過(guò)濾可以阻止惡意信IT濾策略。URL過(guò)濾也可以起到一定的數(shù)據(jù)防泄露的功能。5郵件安全網(wǎng)關(guān)郵件安全網(wǎng)關(guān)的定義APT(高級(jí)持續(xù)性攻擊)組織來(lái)說(shuō)，郵件攻擊是其最為常用的攻擊手段。APT病毒、木馬、蠕蟲、URL釣魚等郵件攻擊，為郵件服務(wù)提供全方位的安全保障。郵件安全網(wǎng)關(guān)的核心價(jià)值隨著郵件業(yè)務(wù)規(guī)模的不斷增長(zhǎng)，對(duì)電子郵件系統(tǒng)的安全防護(hù)需求日益迫切。如何有效的防堵各類垃圾郵件，保護(hù)用戶免受病毒木馬及釣魚郵件的戕害，是很多客戶目前最需要迫切解決的問(wèn)題。當(dāng)遭遇垃圾郵件、病毒郵件、釣魚郵件、或DDos時(shí)，做不到及時(shí)防御，可能會(huì)導(dǎo)致郵件服務(wù)不堪重負(fù)而崩潰，嚴(yán)重的話會(huì)對(duì)整個(gè)公司的業(yè)務(wù)發(fā)展造成毀滅性打擊。通過(guò)部署郵件安全網(wǎng)關(guān)，可以幫助用戶解決如下問(wèn)題：的負(fù)擔(dān)；可以斬?cái)嗖《镜泥]件入侵渠道，反勒索，反釣魚，保障內(nèi)外安全；可以避免郵件賬戶被盜用，用來(lái)發(fā)送垃圾郵件和惡意郵件，危害用戶信譽(yù)；可以最大限度的減少垃圾郵件的干擾，提高郵件服務(wù)滿意度；可以避免重要信息通過(guò)郵件違規(guī)外泄，避免潛在的合規(guī)風(fēng)險(xiǎn)；可以提高郵件應(yīng)用效率，提高郵件傳遞速度。郵件安全網(wǎng)關(guān)的關(guān)鍵能力垃圾和廣告郵件檢測(cè)作為現(xiàn)在主流的郵件安全解決方案，郵件安全網(wǎng)管可以利用實(shí)時(shí)地址黑名單（RBL）、域名黑名單（DBL）、DNS黑名單（DNSBL）、URI黑名單（URIBL）、（SPF）（DKIM）弱口令、帳號(hào)爆破等針對(duì)郵件帳號(hào)的攻擊檢測(cè)APT對(duì)抗郵件安全網(wǎng)關(guān)可對(duì)郵件登錄會(huì)話和內(nèi)容信息進(jìn)行分析，實(shí)現(xiàn)對(duì)相關(guān)帳號(hào)的登錄和異地登錄等行為。識(shí)別精心偽裝的魚叉式釣魚郵件識(shí)別通過(guò)郵件的敏感數(shù)據(jù)泄漏身份識(shí)別與訪問(wèn)管理什么是身份識(shí)別與訪問(wèn)管理API等實(shí)體都需要建立對(duì)應(yīng)的身份，以支持Subject）對(duì)何物（客體，Object）執(zhí)行何種操作（訪問(wèn)操作，Action）的一種方技術(shù)應(yīng)具備最小權(quán)限原則（ThePrincipleofLeastPrivilege）和完全仲裁原則（CompleteMediation）。最小權(quán)限原則是安全的基本原則之一，其核心思想是過(guò)。IAMGartner中的定義為：Identityandaccessmanagement(IAM)isthedisciplinethatenablestherightindividualstoaccesstherightresourcesattherighttimesfortherightreasonIAM是一個(gè)可有效控制人或物等不同類型用戶訪問(wèn)的能力要求原來(lái)越高。IAM通過(guò)統(tǒng)一的身份管理、認(rèn)證和授權(quán)能力，有效的連接了組織的各類信息系統(tǒng)，相對(duì)于傳統(tǒng)解決方案更加的安全與高效。IAM帶來(lái)的信息系統(tǒng)的高效連接、訪問(wèn)安全性和有效性，使得XDR技術(shù)有能力以身份為核心進(jìn)行關(guān)聯(lián)分析，攻擊溯源等工作，為XDR向組織提供更精準(zhǔn)的檢測(cè)和更及時(shí)的響應(yīng)能力提供了重要支撐。權(quán)訪問(wèn)管理戶，便有可能發(fā)起最終的攻擊并造成難以挽回的損失。于出于“運(yùn)維需要”被普通員工和第三方人員獲取。PrivilegedAccessManagement)使得特權(quán)賬戶的使用與所執(zhí)行的操作變得可見。在早期階段，特權(quán)訪問(wèn)管理)只涉及（如具備使用跳板機(jī)或獨(dú)立終端軟件進(jìn)行會(huì)話錄制的能力）的能力更加豐富，具備了包括多因素身份驗(yàn)證、會(huì)話監(jiān)控、代理和用戶行為分析(UBA)同樣要求具備實(shí)現(xiàn)最小權(quán)限原則和完全仲裁原則的能力。通過(guò)會(huì)話監(jiān)裁的保證。擴(kuò)展檢測(cè)和響應(yīng)(XDR)XDR通過(guò)使用關(guān)鍵數(shù)據(jù)和遙測(cè)來(lái)擴(kuò)展所有關(guān)鍵資產(chǎn)的可見性，增強(qiáng)了完全仲裁的能力。而PAM通過(guò)對(duì)關(guān)鍵資源即時(shí)的最小訪問(wèn)授權(quán)，以及對(duì)特權(quán)會(huì)話的監(jiān)視與特權(quán)賬戶事件的捕獲，進(jìn)一步豐富了XDR的遙測(cè)能力。身份威脅事件檢測(cè)與響應(yīng)DetectionandResponse,ITDR）技術(shù)變得重要。GartnerITDR技術(shù)的正式定義為：身份威脅檢測(cè)和響應(yīng)（ITDR）IAM為組織統(tǒng)一的潛在收益。越來(lái)越多的攻擊者將目標(biāo)對(duì)準(zhǔn)身份基礎(chǔ)設(shè)施本身。ITDR技術(shù)將為身份和訪問(wèn)管理（IAM）部署增加額外的安全層。準(zhǔn)身份和訪問(wèn)管理功能并長(zhǎng)期潛伏，身份優(yōu)先安全變得更加緊迫。ITDR技術(shù)通ActiveDirectory的遷移鞏固了身份作為安全邊界的趨勢(shì)。ITDRXDR的關(guān)鍵組成部分。通XDR（別是攻擊早期的可以行為組織網(wǎng)絡(luò)。蜜罐與沙箱蜜罐/蜜網(wǎng)，安全沙箱等，引起了業(yè)界高度關(guān)注。蜜罐LanceSpitzner給出了一個(gè)比較權(quán)威的定義：蜜罐是一種安全資源，其價(jià)人和流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示著掃描、攻擊和攻陷。1998這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。1998于欺騙黑客的開源工具，如FredCohen所開發(fā)的DTK、NielsProvos開發(fā)的HoneydKFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階統(tǒng)和網(wǎng)絡(luò)服務(wù)，并對(duì)黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。2000便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。標(biāo)的誘騙技術(shù)。Honeypot系統(tǒng)，能夠分散黑客的注意力和精力，所以對(duì)真正的網(wǎng)絡(luò)資源起到保護(hù)作用。與特征提取等主要技術(shù):洞，引誘黑客的攻擊。括輸入、輸出及鍵盤和屏幕的捕獲。別的主機(jī)，因此必須控制進(jìn)出系統(tǒng)的數(shù)據(jù)流量而不被黑客懷疑。集到的所有信息進(jìn)行分析、綜合和關(guān)聯(lián)，完成對(duì)蜜罐攻擊信息的分析。補(bǔ)充。沙箱sandbox術(shù)源于軟件錯(cuò)誤隔離技術(shù)（softwarebasedfaultisolationSFISFI是一種利將不可信模塊與軟件系統(tǒng)隔離來(lái)保證軟件的魯棒性。企業(yè)和安全專家的青睞。沙箱介于操作系統(tǒng)的應(yīng)用層和內(nèi)核層之間。離功能。最早的應(yīng)用程序沙箱用于保證二進(jìn)制代碼的安全。內(nèi)核層沙箱駐留在內(nèi)核的地址空間中，可以方便地借助硬件級(jí)別的保護(hù)機(jī)制來(lái)實(shí)現(xiàn)安全隔離。混合型沙箱是結(jié)合了應(yīng)用層和內(nèi)核層沙箱技術(shù)的沙箱系統(tǒng)。在該類沙箱中，內(nèi)核層提供了操作系統(tǒng)的隔離支持及相關(guān)的執(zhí)行機(jī)制，系統(tǒng)的剩余部分都在應(yīng)用層實(shí)現(xiàn)。APT行。則的沙箱主要采用重定向技術(shù)和惡意行為檢測(cè)技術(shù)。虛擬化技術(shù)是一種資源管理技術(shù)，可以將計(jì)算機(jī)的各種實(shí)體資源予以抽象、基于虛擬機(jī)完成目標(biāo)操作。測(cè)法。重定向技術(shù)是一種可以將各種訪問(wèn)請(qǐng)求以及請(qǐng)求中的參數(shù)重新定位轉(zhuǎn)移到Hook數(shù)調(diào)用，它可以用于網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。展，沙箱技術(shù)本身還有很多地方需要改進(jìn)。能學(xué)習(xí)系統(tǒng)，自動(dòng)化地更新規(guī)則集合能夠改進(jìn)現(xiàn)有沙箱系統(tǒng)性能。針對(duì)性比較強(qiáng)，如APT重要方向。第三章后端能力威脅情報(bào)威脅情報(bào)的定義及來(lái)源GartnerITEDRNDRSIEM威脅情報(bào)數(shù)據(jù)，一般由文件哈希、域名、IPURL等幾個(gè)常規(guī)維度的APT威脅情報(bào)增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和態(tài)勢(shì)評(píng)估。MITRE矩陣為代全局，感知全景方面的不足。XDR應(yīng)，真正實(shí)現(xiàn)跨系統(tǒng)、跨平臺(tái)、跨數(shù)據(jù)中心、跨地域的攻擊溯源能力。態(tài)勢(shì)評(píng)估場(chǎng)景在威脅感知階段的自動(dòng)化檢測(cè)分析結(jié)果和攻擊溯源階段的研息的可視化呈現(xiàn)。威脅情報(bào)賦能高級(jí)威脅識(shí)別APT價(jià)值。威脅情報(bào)加速安全事件應(yīng)急響應(yīng)在安全事件應(yīng)急響應(yīng)的過(guò)程中，綜合利用全網(wǎng)威脅情報(bào)結(jié)合威脅圖譜可加快事件響應(yīng)速度。首先，通過(guò)情報(bào)對(duì)碰，基于原始告警生成高置信度的有效告警；從安全基礎(chǔ)設(shè)施和處理能力的根本層面，實(shí)現(xiàn)降本增效。數(shù)據(jù)湖XDRXDR產(chǎn)品在后端，需要強(qiáng)大的安全大數(shù)據(jù)平臺(tái)支撐海量安全數(shù)據(jù)采集、存儲(chǔ)、分析、檢索和可視。數(shù)據(jù)湖的概念段：20MysqlOracleSQLServerPostgresSQLGB級(jí)）下的實(shí)時(shí)查詢分析。Hadoop一查詢和分析的需要。2004年前后，Google3篇論文：GFS分布式文件系統(tǒng)、MapReduce并行計(jì)算框架、ApacheHadoop據(jù)方案，風(fēng)靡全球。Spark/Flink/Storm為代表的實(shí)時(shí)流式計(jì)算系統(tǒng)。2010年之后，HadoopMapReduceSQLSparkFlink、Storm等。第四代：以數(shù)據(jù)湖/湖倉(cāng)一體化為代表的新技術(shù)。隨著云原生技術(shù)的發(fā)展，（結(jié)構(gòu)化和非結(jié)構(gòu)化意規(guī)模數(shù)據(jù)（GB、TB、PB、EB等）存儲(chǔ)。支持?jǐn)?shù)據(jù)采集、處理、實(shí)時(shí)分析、、挖掘、和數(shù)據(jù)可視。數(shù)據(jù)倉(cāng)庫(kù)與數(shù)據(jù)湖1988年，為解決企業(yè)的數(shù)據(jù)集成問(wèn)題，IBM的兩位研究員創(chuàng)造性地提出了一個(gè)新的術(shù)語(yǔ)：數(shù)據(jù)倉(cāng)庫(kù)（DataWarehouse）。1992年，“數(shù)據(jù)倉(cāng)庫(kù)之父”比爾.（Hive、DeltaLake等），基于維度建圖3-1典型的數(shù)據(jù)倉(cāng)庫(kù)架構(gòu)圖PentahoJamesDixon創(chuàng)造了“數(shù)據(jù)湖”（態(tài)下的水，數(shù)據(jù)流從源系統(tǒng)流向這個(gè)湖。blob或文件。數(shù)據(jù)湖通常是企業(yè)所有數(shù)據(jù)的單一存儲(chǔ)（結(jié)構(gòu)化處理），并運(yùn)行不同類型的分析–實(shí)時(shí)分析和機(jī)器學(xué)習(xí)，以指導(dǎo)做出更好的決策。數(shù)據(jù)湖可以支持任意類型的數(shù)據(jù)，包括:來(lái)自關(guān)系數(shù)據(jù)庫(kù)（行和列）的結(jié)構(gòu)化數(shù)據(jù)（CSV，日志，XML，JSON）非結(jié)構(gòu)化數(shù)據(jù)（電子郵件，文檔，PDF）二進(jìn)制數(shù)據(jù)（圖像，音頻，視頻）。數(shù)據(jù)湖需要提供足夠用的數(shù)據(jù)存儲(chǔ)能力，這個(gè)存儲(chǔ)保存了一個(gè)企業(yè)/組織中力（完善的元數(shù)據(jù)）schema的分析處理過(guò)程，能幫助用戶完整詳細(xì)追溯任意一條數(shù)據(jù)的產(chǎn)生過(guò)程。湖倉(cāng)一體化在安全領(lǐng)域的應(yīng)用源，并且是原始數(shù)據(jù)。服務(wù)器日志，傳感器數(shù)據(jù)，社交網(wǎng)絡(luò)活動(dòng)，文架構(gòu)。的交互集成，支持企業(yè)級(jí)數(shù)據(jù)安全應(yīng)用，典型的湖倉(cāng)一體化架構(gòu)如下：圖3-2典型的湖倉(cāng)一體化架構(gòu)圖湖倉(cāng)一體化大數(shù)據(jù)平臺(tái)是更加全面、高效、可靠和智能的大數(shù)據(jù)處理架構(gòu)。它支持更多的數(shù)據(jù)類型和計(jì)算任務(wù)，提供更高效的數(shù)據(jù)存儲(chǔ)和查詢能力。主要特性包括：任意數(shù)據(jù)類型的支持：來(lái)自關(guān)系數(shù)據(jù)庫(kù)（行和列）的結(jié)構(gòu)化數(shù)據(jù)（CSV，日志，XML，JSON）非結(jié)構(gòu)化數(shù)據(jù)（電子郵件，文檔，PDF）二進(jìn)制數(shù)據(jù)（圖像，音頻，視頻）。KBMBGBTBPBEB級(jí)數(shù)據(jù)規(guī)模。和分析任務(wù)的多樣性。IDC服務(wù)器、虛擬機(jī)、容器。存儲(chǔ)支持本地磁盤、對(duì)象存儲(chǔ)等。同應(yīng)用場(chǎng)景的高并發(fā)、高擴(kuò)展性等需求。成本。詢和分析。算和存儲(chǔ)資源。機(jī)器學(xué)習(xí)平臺(tái)支持智能分析計(jì)算和數(shù)據(jù)挖掘。據(jù)的安全性和可靠性。AI引擎分析網(wǎng)絡(luò)安全檢測(cè)現(xiàn)狀在新一代網(wǎng)絡(luò)安全威脅面前，傳統(tǒng)基于特征、簽名檢測(cè)技術(shù)的統(tǒng)一威脅管理/等安全產(chǎn)品并不能使組織安全得到充分保護(hù)，傳統(tǒng)的防毒墻、防火墻、IPS等安全設(shè)備已無(wú)法完全滿足企業(yè)的安全防護(hù)要求?；谔卣鳈z測(cè)和行為檢測(cè)的傳統(tǒng)威脅檢測(cè)手段已經(jīng)越來(lái)越難以應(yīng)對(duì)新型的全威脅檢測(cè)手段提出了更大挑戰(zhàn)。AI在網(wǎng)絡(luò)安全中的作用AI概述人工智能（ArtificialIntelligence，AI），它是研究、開發(fā)用于模擬、延伸和擴(kuò)展的智能的理論、方法、技術(shù)及應(yīng)用系統(tǒng)的一門新的技術(shù)科學(xué)。編程。其主要用于網(wǎng)絡(luò)安全，有兩個(gè)目的：異常檢測(cè):機(jī)器學(xué)習(xí)可用于自動(dòng)檢測(cè)異常，例如異常的用戶行為或意外的網(wǎng)絡(luò)活動(dòng)，這些異?？赡鼙砻鞔嬖诎踩{。AI的作用IDSAPT等未知威脅。NDR暗網(wǎng)流量、翻墻代理、VPN、DNS/ICMP/HTTP隱蔽隧道、WEB攻擊等進(jìn)行檢測(cè)，ML/AI直接對(duì)攻發(fā)現(xiàn)、橫向移動(dòng)、數(shù)據(jù)收集、C2和滲漏。有效的AI驅(qū)動(dòng)的網(wǎng)絡(luò)檢測(cè)和響應(yīng)平AI衍生的檢測(cè)模型安全洞察力去豐富AI的優(yōu)勢(shì)自動(dòng)化：AI可以通過(guò)持續(xù)監(jiān)控和分析網(wǎng)絡(luò)流量來(lái)幫助自動(dòng)執(zhí)行信息安全的各個(gè)方面。減少人為錯(cuò)誤：AI可以通過(guò)每次都遵循相同流程的自動(dòng)化功能和算法來(lái)消除數(shù)據(jù)處理、分析和其他任務(wù)中的人為錯(cuò)誤。消除重復(fù)任務(wù)：AI可用于執(zhí)行重復(fù)任務(wù)，從而讓人力資源能夠空出手來(lái)解決影響較大的問(wèn)題。快速準(zhǔn)確：與人類相比，AI可以更快地處理更多信息，從而查找模式并發(fā)現(xiàn)人類可能錯(cuò)過(guò)的數(shù)據(jù)關(guān)系。無(wú)限可用性：AI不受時(shí)段、休息需求或其他人類負(fù)擔(dān)的限制。在云端運(yùn)行時(shí)，AI和機(jī)器學(xué)習(xí)可以“始終開啟”，從而持續(xù)處理分配的任務(wù)。更快的研發(fā)速度：快速分析大量數(shù)據(jù)的能力可以加快獲得研發(fā)突破的速度。AI在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用文件基因圖譜檢測(cè)基于人工智能檢測(cè)技術(shù)，結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過(guò)惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（加殼且具有快速、準(zhǔn)確率高、誤報(bào)率低、跨平臺(tái)檢測(cè)等特點(diǎn)。圖3-3惡意代碼變種1MD5值都識(shí)別。圖3-4基因圖譜檢測(cè)2種進(jìn)行檢測(cè)。惡意加密流量檢測(cè)TLS/SSLTLS傳統(tǒng)的檢測(cè)方式不能很有效的檢出加密數(shù)據(jù)是否為惡意流量。惡意加密流量類型識(shí)別方法。標(biāo)記、威脅情報(bào)標(biāo)記和進(jìn)訓(xùn)練數(shù)據(jù)收集，首先需要下載黑樣本。下載的樣本來(lái)源包括但不限于：stratosphereipslastlineCICIDSADFA-NB15-Datasetsnetresec樣本、VT1。圖3-5惡意加密流量采集流程AITLSDNS數(shù)據(jù)特征等。JA3/JA3SJARMAI算法建立檢測(cè)模型，實(shí)現(xiàn)對(duì)同類惡意加密流量在不解密情況下進(jìn)行有效的識(shí)別與檢測(cè)。MercuryIP訪IP關(guān)聯(lián)關(guān)系等行為分析方法AI模型檢測(cè)相結(jié)合提升整體檢測(cè)效果。隱蔽隧道檢測(cè)DNS隱蔽隧道DNSTunnelingDNS協(xié)議中傳輸建立通信。DNS隧道木馬帶來(lái)的威脅很大,DNS隧道木馬難以得到有效的監(jiān)控.DNS報(bào)文具有天然的穿透防火墻的能力;另一方面,目前的殺毒軟件、IDSDNS報(bào)文進(jìn)行有效的監(jiān)控管理.DNSDNS工具，它們可以使攻擊者DNSDNS的隱蔽隧道通信行為。DNS隧道和正常DNSDNS會(huì)話的DNSDNSDNS隱蔽隧道識(shí)別特征向量（DNS隧道空間、回應(yīng)包的長(zhǎng)度、qname中數(shù)字字符占比等）DNSDNS隱蔽隧道檢測(cè)模型。在現(xiàn)網(wǎng)中使DNSDNS隱蔽隧道檢測(cè)。ICMP隱蔽隧道,嚴(yán)重威脅信息安全I(xiàn)CMP流量可以躲避防火墻等網(wǎng)絡(luò)設(shè)備的檢測(cè),ICMP隧道技術(shù)采用ICMPICMP_ECHOICMP_ECHOREPLYICMP報(bào)文的pingICMPICMP協(xié)議進(jìn)行非法通信。ICMPICMPICMPICMPICMP量（pktlenMax、payload_n-gram-213、pktlenEnt等）ICMP隱蔽隧ICMPAIICMP隱蔽隧道通訊檢測(cè)。HTTP隱蔽隧道HTTP隧道多用于在受限網(wǎng)絡(luò)連接的條件下在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建網(wǎng)絡(luò)鏈IDSFirewallHTTP常常用于內(nèi)網(wǎng)里面的端口轉(zhuǎn)發(fā)與流量代理，HTTP通信流量往往與正常流量差異性不大，一般通過(guò)特征識(shí)別不容易被檢測(cè)出來(lái)，HTTP隧道多用于建立遠(yuǎn)程桌面sshHTTP隧道通訊進(jìn)行檢測(cè)。AIHTTPHTTPHTTPHTTP隧道流量分別HTTP隧道流量識(shí)別模型，在現(xiàn)網(wǎng)中，獲取HTTP隱蔽隧道特征，建立動(dòng)態(tài)自學(xué)習(xí)AI檢測(cè)模型，通過(guò)集成機(jī)器學(xué)習(xí)技術(shù)實(shí)現(xiàn)高準(zhǔn)確性和高召回率的隧道檢測(cè)模型可對(duì)HTTP隧道進(jìn)行有效檢測(cè)與分析。高級(jí)威脅分析引擎IT是現(xiàn)代安全運(yùn)營(yíng)體系的核心評(píng)價(jià)指標(biāo)之一。高級(jí)威脅的特征及挑戰(zhàn)體設(shè)計(jì)規(guī)避方案提供了可趁之機(jī)。失陷指標(biāo)與攻擊指標(biāo)APT云端、移動(dòng)端、郵件、資產(chǎn)、瀏覽器、蜜罐等多個(gè)維度，深度挖掘情報(bào)大數(shù)據(jù)，早期，業(yè)界廣泛普及應(yīng)用的失陷指標(biāo)（IndicatorofCompromise，IoC），只IP地址和域名，很容易被威脅主體IoC本，或在C2制點(diǎn)。在傳統(tǒng)失陷指標(biāo)（IoC）的基礎(chǔ)上，有效融合多源擴(kuò)展安全數(shù)據(jù)，利用關(guān)聯(lián)決當(dāng)前以異構(gòu)安全技術(shù)棧為基礎(chǔ)構(gòu)建的安全防御體系中原生固有存在著的安全視野不連續(xù)的核心缺陷。高級(jí)威脅的檢測(cè)與識(shí)別在技術(shù)實(shí)現(xiàn)層面，XDR解決方案重點(diǎn)聚焦終端、流量，從內(nèi)存、磁盤、流督學(xué)習(xí)等人工智能技術(shù)，建立目標(biāo)系統(tǒng)的安全行為基線，高效識(shí)別高級(jí)威脅。高級(jí)威脅的調(diào)查與響應(yīng)XDRIPIP素及要素間的時(shí)序關(guān)系。優(yōu)先級(jí)和影響面，從而進(jìn)行響應(yīng)處置。5無(wú)代碼自動(dòng)化編排劇本SOAR技術(shù)簡(jiǎn)介XDR解決方案中，SOAR（尤其是安全響應(yīng)問(wèn)題。安全編排與自動(dòng)化技術(shù)安全編排與自動(dòng)化是SOAR的核心能力和基本能力，核心是劇本庫(kù)和應(yīng)用庫(kù)（動(dòng)作庫(kù)SOAR將不同的系統(tǒng)協(xié)同聯(lián)動(dòng)起來(lái)的目標(biāo)。安全編排自動(dòng)化安全編排(Orchestration)的過(guò)程就是將團(tuán)隊(duì)、流程、技術(shù)和工具等各種要素可編程接口（API）和人工檢查點(diǎn)，按照業(yè)務(wù)訴求編排成有序的執(zhí)行邏輯塊，創(chuàng)減少人的參與來(lái)降低人為錯(cuò)誤因素，以提升編排的工作效率。無(wú)論是自動(dòng)化的編排，還是人工的編排，都可以通過(guò)劇本(playbook)來(lái)進(jìn)行工作流的推進(jìn)，其劇本動(dòng)作也將有序執(zhí)行。WebShellDNS任務(wù)，方便管理人員維護(hù)劇本，降低安全配置工作。安全流程自動(dòng)化(Automation)API實(shí)現(xiàn)的，那么它就可以稱為是可以自動(dòng)化執(zhí)行的，的核心作用，必先梳理出組織自身的標(biāo)準(zhǔn)安全操作流程和規(guī)程。常見的安1所示：圖3-6安全業(yè)務(wù)流程自動(dòng)化實(shí)現(xiàn)不同的系統(tǒng)協(xié)同聯(lián)動(dòng)起來(lái)，利用技術(shù)去監(jiān)測(cè)數(shù)據(jù)資產(chǎn)以及信息資產(chǎn)中全分析、告警管理和案件管理等功能隨時(shí)調(diào)用?！皰靾D作戰(zhàn)”核心策略“掛圖作戰(zhàn)“行為力導(dǎo)圖”“攻擊路徑圖”“對(duì)抗指導(dǎo)圖”等圖形化方式作為核心策略。幫助防守方更直觀、全面響應(yīng)等動(dòng)作。關(guān)聯(lián)案例并補(bǔ)全到案例中。生成攻擊溯源圖確定事件從哪里開始、經(jīng)過(guò)哪些節(jié)點(diǎn)，最終導(dǎo)致問(wèn)題的產(chǎn)生。每個(gè)實(shí)體都將展示識(shí)別異常EDRNDR觀地處理網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，更好的保護(hù)其重要資產(chǎn)。安全能力集成安全設(shè)施接口化是SOAR得以落地的重要前提條件，SOAR往往通過(guò)應(yīng)用(App)和動(dòng)作(Action)開發(fā)：包括應(yīng)用配置定義、應(yīng)用編碼實(shí)現(xiàn)、和應(yīng)用動(dòng)作結(jié)果渲染；調(diào)試：在測(cè)試環(huán)境中對(duì)開發(fā)好的應(yīng)用進(jìn)行調(diào)試；打包：按照應(yīng)用集成框架的開發(fā)要求，對(duì)開發(fā)調(diào)試完畢應(yīng)用進(jìn)行打包；導(dǎo)入：將應(yīng)用導(dǎo)入系統(tǒng)，并納入系統(tǒng)的應(yīng)用庫(kù)進(jìn)行統(tǒng)一管理。SOARXDR（通過(guò)與其它技術(shù)的集成XDR的一個(gè)新常態(tài)。威脅情報(bào)關(guān)聯(lián)分析3所示：圖3-7威脅情報(bào)中心情報(bào)中心?；诖髷?shù)據(jù)攻擊溯源分析管理攻擊溯源本質(zhì)上是在大量的正常數(shù)據(jù)中尋找出攻擊者在攻擊過(guò)程中留下的PersistentThreat，APT）攻擊者和內(nèi)部利益驅(qū)動(dòng)的員工威脅而提出的一種解決方APT來(lái)了新的可能。定位、惡意樣本分析、ID追蹤等技術(shù)溯源反制收集攻擊者信息；最后，通過(guò)對(duì)溯源。大數(shù)據(jù)技術(shù)可以收集大量的異構(gòu)數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行清洗，提煉出有價(jià)值的攻擊痕跡，再通過(guò)數(shù)據(jù)分析和模型關(guān)聯(lián)將這些信息串聯(lián)起來(lái)形成攻擊路徑，通過(guò)攻擊路徑的反溯找到攻擊入口、還原攻擊過(guò)程。基于大數(shù)據(jù)攻擊溯源總體框架如圖4所示：圖3-8攻擊溯源總體框架數(shù)據(jù)集層數(shù)據(jù)是攻擊溯源的基礎(chǔ)，整個(gè)APT攻擊過(guò)程可能覆蓋系統(tǒng)漏洞發(fā)現(xiàn)，包括墻等網(wǎng)絡(luò)安全設(shè)備日志。②主機(jī)側(cè)數(shù)據(jù)集：包含業(yè)務(wù)訪問(wèn)記錄、系統(tǒng)日志、系統(tǒng)進(jìn)程監(jiān)控?cái)?shù)據(jù)等。③輔助佐證數(shù)據(jù)集：收集威脅情報(bào)作為輔助佐證數(shù)據(jù)集。數(shù)據(jù)清洗分析層全景關(guān)聯(lián)溯源層完成單場(chǎng)景溯源模型的準(zhǔn)備后，再通過(guò)模型進(jìn)行全場(chǎng)景關(guān)聯(lián)溯源，模型由MITRE景圖。報(bào)告管理度量的需要。報(bào)告模板事件和任務(wù)關(guān)聯(lián)報(bào)告API中心背景介紹SOAR能很好地進(jìn)行響應(yīng)，存在大量重復(fù)開發(fā)工作。XDRAPIAPI的產(chǎn)品是一個(gè)停留在上一個(gè)時(shí)代的產(chǎn)品。API聯(lián)動(dòng)響應(yīng)類APIXDRIP聯(lián)動(dòng)防火墻進(jìn)行封堵攔截，將已失陷主機(jī)從內(nèi)網(wǎng)中隔離，向被等。樣本分析類有一些自動(dòng)化的分析需求。標(biāo)準(zhǔn)的，不同廠商的產(chǎn)品之間的接口必定是不兼容的。溯源取證類DNS請(qǐng)求記錄等。信息上報(bào)類EPP管理系統(tǒng)或者桌管類產(chǎn)品的接口打通后獲取。除了以上類型的API之外，一定還存在著我們目前想象不到的API類型。低，版本依賴程度高。API能力的提供者與使用者，提升聯(lián)動(dòng)效率，降低研發(fā)成本。API注冊(cè)與發(fā)布APIAPI能力的有序擴(kuò)展。APIAPI指定服務(wù)入口點(diǎn)URL形式：${SCHEME}://${DOMAIN-NAME}/${URI}SCHEME:在一般的業(yè)務(wù)系統(tǒng)中，往往采用http/https的方式來(lái)使用API.DOMAIN-NAME:在較大型企業(yè)內(nèi)部，會(huì)通過(guò)內(nèi)部DNS的方式來(lái)部署業(yè)務(wù)，但是大部分企業(yè)還是會(huì)直接使用IP來(lái)指定服務(wù)的訪問(wèn)地址。URI:用來(lái)在系統(tǒng)內(nèi)唯一標(biāo)識(shí)API資源。或API服務(wù)的內(nèi)部入口點(diǎn)和外部入口點(diǎn)是不同的。APIDNSDNS。但是如果是對(duì)外暴露IP是不能任意指定的。因此引來(lái)的一個(gè)問(wèn)題是同一個(gè)服務(wù)入口是不能夠同時(shí)服務(wù)內(nèi)部和外部的。除此之外，我們還需要指定：APIAPI一個(gè)名稱。methodHTTPGETPOST請(qǐng)求類型：指定請(qǐng)求體的數(shù)據(jù)格式。響應(yīng)類型：指定響應(yīng)體的數(shù)據(jù)格式。請(qǐng)求類型與響應(yīng)類型需要根據(jù)實(shí)際情況進(jìn)行定義，比較常見的數(shù)據(jù)類型有json，xml。有一些特殊情況如上傳樣本，可選擇設(shè)置類型為二進(jìn)制。指定認(rèn)證方式與授權(quán)API資源的訪問(wèn)需要經(jīng)過(guò)認(rèn)證后才能實(shí)施。一般來(lái)說(shuō)，API服務(wù)可能需HTTPhttpsAPI業(yè)務(wù)調(diào)用請(qǐng)求。的需求。間。在提供對(duì)外訪問(wèn)服務(wù)時(shí)，有可能會(huì)需要限定訪問(wèn)客戶端的IP地址。指定后端服務(wù)APIAPIAPIhttp提供病毒掃描的服務(wù)，APIAPIEDREDR服務(wù)端，請(qǐng)求才會(huì)有結(jié)果。當(dāng)然，這種API內(nèi)部做好處理。方式需要可以單獨(dú)進(jìn)行設(shè)置。數(shù)據(jù)適配API要進(jìn)行以下一些調(diào)整：格式轉(zhuǎn)換，比如JSON轉(zhuǎn)XML在請(qǐng)求頭，請(qǐng)求行等請(qǐng)求部位中增加參數(shù)向請(qǐng)求體的結(jié)構(gòu)化數(shù)據(jù)中增加參數(shù)對(duì)參數(shù)進(jìn)行重命名處理。測(cè)試APIAPIAPI證服務(wù)構(gòu)建的正確性。API發(fā)布與下線APIAPIAPI。APIAPI服務(wù)。集成與應(yīng)用圖9如圖9所示，首先，在API的集成與應(yīng)用場(chǎng)景中，我們認(rèn)為有如下幾個(gè)角色：API服務(wù)提供者API服務(wù)使用方API管理發(fā)布平臺(tái)VPC中，相互直接從網(wǎng)絡(luò)層面是可以互通的。我們/通過(guò)平臺(tái)對(duì)外提供服務(wù)進(jìn)行訪問(wèn)的調(diào)用者或者服務(wù)提供者，我們成為外部。在這個(gè)層面來(lái)講，API和重要的。拋開平臺(tái)以外，在常規(guī)業(yè)務(wù)場(chǎng)景中，API服務(wù)的提供者和使用者往往有以下情況：同時(shí)是服務(wù)提供者和使用者的平臺(tái)內(nèi)部服務(wù)ABAPIAPI。均衡等工作全部由相關(guān)產(chǎn)品的服務(wù)來(lái)提供，可以有多種方式，包括直接使用。API平臺(tái)發(fā)布的接口即可實(shí)現(xiàn)聯(lián)動(dòng)需求。平臺(tái)內(nèi)部使用者很多情況下，XDRSOARAPIAPIAPID即是此種。提供API能力的外部設(shè)備/系統(tǒng)APIAPI管理服務(wù)的能力，將該能力集成到平臺(tái)里。外部使用者很多中大型用戶的安全運(yùn)營(yíng)往往會(huì)采用異構(gòu)方式進(jìn)行，通過(guò)購(gòu)買不同廠商的產(chǎn)品來(lái)規(guī)避因?yàn)槟硰S商的問(wèn)題導(dǎo)致整個(gè)企業(yè)出現(xiàn)風(fēng)險(xiǎn)。API管理系統(tǒng)作為各類安全能力集中的平臺(tái)，天然具備向第三方輸出安全能力的功能。小結(jié)APIXDRXDR平臺(tái)的關(guān)鍵指標(biāo)。CICD基礎(chǔ)安全CI（ContinuousIntegration）是在軟件開發(fā)期間自動(dòng)化和集成來(lái)自許多團(tuán)隊(duì)成員的代碼更改和更新的過(guò)程。在CI中，自動(dòng)化工具在集成之前確認(rèn)軟件代碼是有效且無(wú)錯(cuò)誤的，這有助于檢測(cè)錯(cuò)誤并加快新版本的發(fā)布。CDDevOps發(fā)生命周期。在基礎(chǔ)安全方面，至少要保障人、技術(shù)、流程方面的安全:人：要建立安全管理組織，建設(shè)組織級(jí)的安全文化，開發(fā)人員、測(cè)試人員、CICD安全運(yùn)維進(jìn)行安全風(fēng)險(xiǎn)控制。CICD過(guò)程中，實(shí)現(xiàn)自動(dòng)化的安全風(fēng)險(xiǎn)控制。流程：CICD的過(guò)程要可以重復(fù)，需要將需求開發(fā)、安全交付、安全運(yùn)營(yíng)流可以通過(guò)撰寫發(fā)布制度、規(guī)則，實(shí)現(xiàn)流程化的安全風(fēng)險(xiǎn)控制。需求開發(fā)按CICD的過(guò)程，在需求開發(fā)階段包括需求、設(shè)計(jì)、開發(fā)三個(gè)階段。采取安全風(fēng)險(xiǎn)控制措施，從而控制開發(fā)過(guò)程的安全。確保應(yīng)用系統(tǒng)的安全。風(fēng)險(xiǎn)。安全交付署。關(guān)系、發(fā)布制品、配置等安全內(nèi)容。的安全風(fēng)險(xiǎn)，提升應(yīng)用的安全質(zhì)量。應(yīng)用，并保障此過(guò)程中的安全。同時(shí)，為安全運(yùn)營(yíng)準(zhǔn)備相關(guān)的所有交付材料。安全運(yùn)營(yíng)現(xiàn)安全運(yùn)營(yíng)。別內(nèi)部和外部的安全事件和風(fēng)險(xiǎn)。CICDXDRXDR則強(qiáng)調(diào)的威脅檢測(cè)和快速的事件響應(yīng)。CICD和XDR在軟件開發(fā)和安全防御中有著千絲萬(wàn)縷的聯(lián)系。首先，CICDXDRCICD的持續(xù)集成和持續(xù)交付特性，XDR分析攻擊路徑等，幫助安全團(tuán)隊(duì)制定有效的安全策略。其次，XDRCICD提供了安全保障。安全漏洞和惡意攻擊往往會(huì)導(dǎo)致生產(chǎn)XDR的威脅此外，CICDXDR還可以通過(guò)自動(dòng)化和標(biāo)準(zhǔn)化的方式實(shí)現(xiàn)更高效的軟件開發(fā)和安全防御。CICD可以通過(guò)自動(dòng)化測(cè)試和部署，提高開發(fā)團(tuán)隊(duì)的工作效率；XDR第四章生態(tài)現(xiàn)狀洞察數(shù)字化評(píng)價(jià)指標(biāo)與可視化XDR管理性指標(biāo)和評(píng)價(jià)XDR是以威脅檢測(cè)和響應(yīng)為中心的整合安全平臺(tái)解決方案，通過(guò)前端XDR數(shù)量較少且高質(zhì)量的告警。XDRAPIIOC，也能從一個(gè)通道檢測(cè)其他通道進(jìn)行響應(yīng)。XDR指標(biāo)體系需要結(jié)合組織業(yè)務(wù)安全目標(biāo)，明確關(guān)鍵性能指標(biāo)，并確定如何度量這些指標(biāo)。此外需建立量化指標(biāo)評(píng)價(jià)體系，以便實(shí)時(shí)可量化的觀測(cè)XDR視化等方面問(wèn)題。XDR安全組件來(lái)分別進(jìn)行闡述。建立XDR指標(biāo)體系一般需要考慮到以下方面：XDR目標(biāo)應(yīng)該組織控制破壞或者勒索相關(guān)威脅。XDR是否達(dá)成目標(biāo)性能參數(shù)。報(bào)率可以通過(guò)確定被確定為安全事件但實(shí)際上是誤報(bào)的事件與所有檢測(cè)到的安全事件的比率來(lái)度量。量一次。的趨勢(shì)和表現(xiàn)。XDR作為整合安全平臺(tái)，首先建立管理類的評(píng)估指標(biāo)體系，綜合評(píng)價(jià)XDR果，并選擇最適合的安全組件：XDR夠更好地識(shí)別和防御攻擊，從而減少潛在的風(fēng)險(xiǎn)和損失。XDRNDR從而降低潛在損失。XDR脅和采取行動(dòng)。XDR多安全組件的統(tǒng)一平臺(tái)管理，通用管理工作流體驗(yàn)。XDR包括安全組件間實(shí)時(shí)共享威脅情報(bào)的能力。XDRXDR平臺(tái)提供與工作流平臺(tái)集成接口，提供集成響應(yīng)選項(xiàng)，來(lái)自所有安全組件的上下文信息并支持快速處置。XDR重要的衡量指標(biāo)，一般需要支持可靠的數(shù)據(jù)存儲(chǔ)功能，支持低成本存儲(chǔ)選項(xiàng)或混合存儲(chǔ)來(lái)降低長(zhǎng)期存儲(chǔ)成本。EDR指標(biāo)和可視化端點(diǎn)檢測(cè)與響應(yīng)（EndpointDetection&Response，EDR）是一種新型的、智的安全防御能力。EDR的使用指標(biāo)根據(jù)行業(yè)、公司、以及安全管理人員的不同偏好，EDR可用在不同的地方，也會(huì)產(chǎn)生對(duì)應(yīng)的指標(biāo)。以下闡述常見的使用指標(biāo)部署率、覆蓋率部署率、覆蓋率指的是EDR產(chǎn)品在企業(yè)所管理的設(shè)備終端的安裝率、部署率等。這是最常見的指標(biāo)之一。部署率、覆蓋率有時(shí)也會(huì)延展到更深的層次，比如EDREDR版本，來(lái)解決兼容性、功能性等問(wèn)題。EDREDR從而可以快速響應(yīng)資產(chǎn)收集相關(guān)EDREDR清單、賬號(hào)變更等衍生指標(biāo)系統(tǒng)加固類EDR（（（線等）、補(bǔ)丁修復(fù)（虛擬補(bǔ)丁、或修復(fù)建議等）。而加固手段有黑白名單（進(jìn)程、網(wǎng)絡(luò)、行為等）、虛擬補(bǔ)丁等。由此而展開的使用指標(biāo)有：風(fēng)險(xiǎn)賬號(hào)的數(shù)量、漏洞數(shù)量、危險(xiǎn)級(jí)別等、基線不合規(guī)律、補(bǔ)丁修復(fù)完成率等威脅檢測(cè)類能對(duì)內(nèi)外部的攻擊行為進(jìn)行主動(dòng)檢測(cè)，其中包含各種漏洞攻擊、跨站腳本、提權(quán)等異常行為。其中展開的指標(biāo)有：高危事件事項(xiàng)、已處理事件數(shù)量、誤報(bào)率、策略調(diào)整次數(shù)等響應(yīng)取證類分析的技術(shù)門檻，不需要依賴于外部專家即可完成快速響應(yīng)和取證分析。擴(kuò)展的相關(guān)指標(biāo)：自動(dòng)化修復(fù)率NDR指標(biāo)和可視化NDRXDR核心組件，通過(guò)全流量檢測(cè)分析和響應(yīng)處置的，對(duì)威脅進(jìn)行NDRNDR測(cè)到異常的流量模式時(shí)會(huì)發(fā)出異常警報(bào)。NDRNDRDFIDPI技術(shù)來(lái)分析NDRNDR力指標(biāo)和流量分析能力指標(biāo)：安全能力指標(biāo)包括：NDR能夠檢測(cè)到更多的威脅。這里可以具體細(xì)分到不同場(chǎng)景威脅檢測(cè)率：NDR能夠檢測(cè)到更多的網(wǎng)絡(luò)入侵攻擊事件。NDR能夠檢測(cè)到更多的惡意樣板。NDR能夠檢測(cè)到更多的未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)事件。NDR能夠檢測(cè)到更多的數(shù)據(jù)泄露事件NDR的報(bào)警更加準(zhǔn)確。平均檢測(cè)時(shí)間（MTTD）NDRNDR更加及時(shí)地檢測(cè)到威脅。平均響應(yīng)時(shí)間（MTTR）NDR檢測(cè)到威脅到響應(yīng)該威脅所需的平均NDR能夠更快地響應(yīng)威脅。NDR蠕蟲、木馬后門，APT，釣魚攻擊，挖礦等等。流量分析能力指標(biāo)包括：網(wǎng)絡(luò)協(xié)議解析覆蓋類型（SupportedNetworkProtocolsandTypes）：NDR組件支持的網(wǎng)絡(luò)協(xié)議和流量類型范圍和覆蓋率。如果組件能夠支持多種網(wǎng)絡(luò)協(xié)議和流量類型，那么它就具有較強(qiáng)的可擴(kuò)展性和適應(yīng)性。ISONDR的協(xié)議的數(shù)量和能力是NDRPayloadHTTPDNSSMTPPOP3險(xiǎn)。其他網(wǎng)絡(luò)性能指標(biāo)：丟包率、流還原率、網(wǎng)絡(luò)吞吐量、解碼率等等。IAM指標(biāo)和可視化IAM（IdentityandAccessManagement，身份識(shí)別與訪問(wèn)管理）是一種安全技術(shù)和管理工具，IAMXDR的核心組件，它可以幫助企業(yè)實(shí)現(xiàn)身份驗(yàn)證、IAM管理，確保企業(yè)的數(shù)據(jù)安全。XDRIAMEDR組件聯(lián)動(dòng)，以發(fā)現(xiàn)和響應(yīng)內(nèi)部網(wǎng)絡(luò)的攻擊行為；IAMDLP組件聯(lián)動(dòng)，以防止敏感數(shù)據(jù)的泄露；IAMSIEM組件聯(lián)動(dòng)，以收集和分析安全日志，發(fā)現(xiàn)潛在的安全威脅；IAMNDR組件聯(lián)動(dòng)，以確保只有授權(quán)的用戶才能訪問(wèn)網(wǎng)絡(luò)資源。IAM在使用過(guò)程中，主要的評(píng)價(jià)指標(biāo)分為：認(rèn)證、授權(quán)與訪問(wèn)控制、身份管下：認(rèn)證相關(guān)理、認(rèn)證安全性等。其中，認(rèn)證策略是指認(rèn)證的規(guī)則和流程，可以指定認(rèn)證的方式、認(rèn)證的頻率、認(rèn)證的級(jí)別等；多個(gè)認(rèn)證因素可以靈活地進(jìn)行組合認(rèn)證，形成多種認(rèn)證方式。認(rèn)證管理是指認(rèn)證的管理和控制，可以指定認(rèn)證的管理者、認(rèn)證的審核者等；多因素認(rèn)證等，以確保認(rèn)證的安全性和可靠性。授權(quán)與訪問(wèn)控制相關(guān)問(wèn)控制安全性等。其中，訪問(wèn)控制策略是指訪問(wèn)控制的規(guī)則和流程，可以指定訪問(wèn)控制的方式、訪問(wèn)控制的頻率、訪問(wèn)控制的級(jí)別等；訪問(wèn)控制機(jī)制是指訪問(wèn)控制的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；訪問(wèn)控制管理是指訪問(wèn)控制的管理和控制，可以指定訪問(wèn)控制的管理者、訪問(wèn)控制的審核者等；訪問(wèn)控制安全性是指訪問(wèn)控制的安全性和可靠性，可以采用多種技術(shù)，如雙因素認(rèn)證、多因素認(rèn)證等，以確保訪問(wèn)控制的安全性和可靠性。身份管理相關(guān)管理的管控、身份管理安全性等。其中，身份管理策略是指身份管理的規(guī)則和流程，可以指定身份管理的方式、身份管理的頻率、身份管理的級(jí)別等；身份管理機(jī)制是指身份管理的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；身份管理的管控是指身份管理的管理和控制，可以指定身份管理的管理者、身份管理的審核者等；身份管理安全性是指身份管理的安全性和可靠性，可以采用多種技術(shù)，如雙因素認(rèn)證、多因素認(rèn)證等，以確保身份管理的安全性和可靠性。安全管理相關(guān)安全管理相關(guān)的二級(jí)指標(biāo)，主要包括：安全策略、安全機(jī)制、安全管理的管控、安全審計(jì)等。其中，安全策略是指安全的規(guī)則和流程，主要包括安全管理的方式、安全管理的頻率、安全管理的級(jí)別等；安全機(jī)制是指安全的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；安全管理的管控是指安全的管理和控制，可以指定安全的管理者、安全的審核者等；安全審計(jì)是指安全的審計(jì)和監(jiān)控，可以采用多種技術(shù)，如日志審計(jì)、安全掃描等，以確保安全的審計(jì)和監(jiān)控。審計(jì)相關(guān)等。其中，的級(jí)別等；審計(jì)機(jī)制是指審計(jì)的技術(shù)和方法，可以采用多種技術(shù)，如日志審計(jì)、安全掃描等；審計(jì)管理是指審計(jì)的管理和控制，可以指定審計(jì)的管理者、審計(jì)的審核者等；數(shù)據(jù)完整性等，以確保審計(jì)的安全性和可靠性。XDR與態(tài)勢(shì)感知平臺(tái)的關(guān)系態(tài)勢(shì)感知平臺(tái)概念A(yù)IUEBA態(tài)勢(shì)感知平臺(tái)行業(yè)實(shí)踐情況勢(shì)感知解決方案廠商已通過(guò)日志審計(jì)、SIEM等技術(shù)手段實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備信息、安全設(shè)備信息以及網(wǎng)絡(luò)流量威脅分析數(shù)據(jù)的采集獲取。正在努力通過(guò)“能力中臺(tái)化”、開放式應(yīng)用程序編程接口（API）等方式提升自設(shè)項(xiàng)目的定制化開發(fā)依舊難以避免。了日志泛化、威脅檢測(cè)、關(guān)聯(lián)分析、溯源取證等能力。定的準(zhǔn)確性以及對(duì)新型威脅的及時(shí)感知能力效果明顯。IT資產(chǎn)的不斷增加，態(tài)勢(shì)感知平臺(tái)獲取和管理的數(shù)/半自動(dòng)化的分析和處置能力能夠?qū)踩\(yùn)營(yíng)人員從簡(jiǎn)單重復(fù)的工作流程中解協(xié)作化的高價(jià)值安全能力。XDR與態(tài)勢(shì)感知平臺(tái)的差異態(tài)勢(shì)感知（SituationAwareness）NDR演進(jìn)而來(lái)的態(tài)勢(shì)感知，更關(guān)注通過(guò)大NDR設(shè)備，優(yōu)點(diǎn)在于可以快速鏡像出流量進(jìn)行旁路檢測(cè)，不會(huì)對(duì)網(wǎng)絡(luò)技戰(zhàn)術(shù)較少，在對(duì)抗不同攻防場(chǎng)景的情況下顯得乏力。其對(duì)接能力也相入平臺(tái)，是一個(gè)依托網(wǎng)絡(luò)流量為基礎(chǔ)構(gòu)建的威脅檢測(cè)和安全態(tài)勢(shì)平臺(tái)。XDR通過(guò)對(duì)接網(wǎng)絡(luò)側(cè)和終端側(cè)的不同安全組件，首先定義遙測(cè)數(shù)據(jù)的標(biāo)準(zhǔn)，80%XDRXDR數(shù)據(jù)編織過(guò)程中的富化信息。是一個(gè)依托遙測(cè)數(shù)據(jù)為基礎(chǔ)、可以廣泛對(duì)接各種安全組件的威脅深度檢測(cè)和統(tǒng)一安全平臺(tái)。XDR優(yōu)勢(shì)分析XDRXDR決現(xiàn)在面臨的眾多安全設(shè)備協(xié)調(diào)的問(wèn)題。XDRSIEM平臺(tái)的關(guān)系盡管EDRSIEMXDR大到終端之外，并提供跨終端、網(wǎng)絡(luò)、服務(wù)器、SIEM等的檢測(cè)、分析和響應(yīng)。圖1XDR可以提供一個(gè)跨多個(gè)工具和平臺(tái)的統(tǒng)一的管理視圖，管理視圖中XDR可以自動(dòng)收集和關(guān)聯(lián)多個(gè)安全向量的數(shù)據(jù)，促進(jìn)更快和更復(fù)雜攻擊場(chǎng)景下的攻擊檢測(cè)，XDR還可以實(shí)現(xiàn)跨多個(gè)XDR圖2說(shuō)起SIEM的發(fā)展，離不開態(tài)勢(shì)感知產(chǎn)品的發(fā)展，之前看到的都是單個(gè)安全設(shè)備告警，比如防火墻告警、WAF告警、漏掃告警等等，安全運(yùn)維需要一個(gè)一個(gè)設(shè)備的看告警。于是自然而然想到了融合所有的告警在一張屏幕上，這就是SIEMSIEMSIEMSIEM中，因此早期SIEM告警數(shù)量太多，為了進(jìn)一步優(yōu)化，聰明的安全運(yùn)維人員發(fā)現(xiàn)，如果防火墻SIEM的告警從以前但是隨著而來(lái)的是告警數(shù)量再次暴漲，安全運(yùn)維人員苦不堪言。GartnerSIEM“（近實(shí)時(shí)和歷史SIME可以從終端、網(wǎng)絡(luò)、系統(tǒng)等整個(gè)企業(yè)的幾乎任何來(lái)源收集可用的日志和事件數(shù)據(jù)，SIEM可以支持同時(shí)為多個(gè)用例進(jìn)行存儲(chǔ)。其/IOC或攻擊指標(biāo)。圖3IEMIT無(wú)異于處于“盲飛”SIEMSIEM工具需要大量的微調(diào)和努力才能實(shí)現(xiàn)。安全團(tuán)隊(duì)也可能被來(lái)自SIEMSOCSIEM器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報(bào)的被動(dòng)分析工具。XDRSIEMSOAR劇本編排與自動(dòng)化響應(yīng)技僅關(guān)注威脅檢測(cè)SIEM除了關(guān)注威脅檢測(cè)與響應(yīng)，還要覆蓋日志存儲(chǔ)及合規(guī)審計(jì)等其SIEMXDRSIEM要簡(jiǎn)XR出效果比SEM/SR更快。XDRSIEMXDR的重要組成部分?，F(xiàn)代SIEMSIEMSOCXDR可以改進(jìn)威SIEM實(shí)現(xiàn)流程的現(xiàn)代化、集成和自動(dòng)化。XDR可以有效協(xié)助SIEM提升威脅檢測(cè)和響應(yīng)效率。尤其是在改進(jìn)高級(jí)威脅檢測(cè)、自動(dòng)化任務(wù)以及威脅平均響應(yīng)時(shí)間方面。同時(shí)，XDRAPTXDR生態(tài)國(guó)外生態(tài)相關(guān)標(biāo)準(zhǔn)包括通用漏洞披露（CVE）、結(jié)構(gòu)化威脅信息表達(dá)（STIX）和可信自動(dòng)情報(bào)信息交換等。通用漏洞披露（CommonVulnerabilities&Exposures，CVE），對(duì)已發(fā)現(xiàn)的網(wǎng)據(jù)庫(kù)和漏洞評(píng)估工具中實(shí)現(xiàn)漏洞數(shù)據(jù)共享。結(jié)構(gòu)化威脅信息表達(dá)（StructuredThreatInformationExpression，STIX）是一STIX威脅協(xié)同分析、自動(dòng)化威脅情報(bào)交換、自動(dòng)化威脅檢測(cè)和響應(yīng)等。AutomatedeXchangeofIndicatorInformation，STIX基礎(chǔ)上定義了網(wǎng)絡(luò)威脅情報(bào)共享的協(xié)議、服務(wù)和格式等。是網(wǎng)相關(guān)接口國(guó)外相關(guān)技術(shù)組織圍繞網(wǎng)絡(luò)安全信息交換功能接口實(shí)現(xiàn)等開展了相關(guān)標(biāo)準(zhǔn)（OpenDXL）等。（OpenCommandand通過(guò)提供一套OpenC2規(guī)范定義不同產(chǎn)品執(zhí)行命令和控制信息的功能和配置信息。開放消息總線規(guī)范（OpenDataeXchangeLayer，OpenDXL），定義了通信模型。OpenDXLOntologyOpenDXL消息總線上的一種開源模型描述，通過(guò)消國(guó)內(nèi)生態(tài)相關(guān)標(biāo)準(zhǔn)展了數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)的研制。在漏洞管理方面，GB/T28458-2020GB/T30279-2020分級(jí)方法建議。在網(wǎng)絡(luò)安全威脅信息格式方