近年來，CISO面臨的安全形勢可謂“內憂外患”，對內面臨多樣化的網絡接入途徑、龐大且繁雜的IT資產；對外面臨攻防關系、攻防手段、網絡攻擊的數(shù)量等呈指數(shù)級增長等問題，給組織的安全防護帶來極大的挑戰(zhàn)。

而目前，大多數(shù)用戶仍然采用傳統(tǒng)“單點防護”的思路進行安全建設，即部署不同廠商各自能力突出的安全設備，俗稱“異構”模式。對有限的安全管理人員來說，這樣的模式帶來的運營成本高昂，甚至脫離實際。

直指核心，重新理解XDR

XDR的安全建設思路，可以應對企業(yè)設備多且散，難以系統(tǒng)運營的問題。

Gartner對XDR產品的定義為平臺，通過平臺自動收集和關聯(lián)來自多個組件的數(shù)據(jù)，配合上可擴展的高性能存儲，快速索引的搜索和自動化驅動的響應，使安全團隊更加高效。

所以有人說，XDR最大的價值就在于將整個過程貫穿起來進行整體安全防護?？梢哉f，XDR更像是一個架構，而非一個產品。事實上，山石網科對XDR的理解正是從“云、網、端、X”這一框架出發(fā)的。

目前，多家主流安全廠商紛紛布局XDR賽道，有的把XDR理解成更快的威脅狩獵，有的把XDR視作新型的態(tài)勢感知。以傳統(tǒng)的SIEM和SOC來看，XDR的出現(xiàn)似乎正成為一股新的勢力。

不同于建立在一系列復雜的網絡采集器、轉發(fā)器、目錄管理、信息管理等之上的SIEM系統(tǒng)和更加廣泛龐大的SOC中心，山石網科對XDR的愿景，直指當下態(tài)勢感知的核心能力：威脅分析與響應。

XDR解決方案出手，安全防護又快又好

云端情報：

1. 實時同步全球最新情報；

2. 情報支持導入到本地；

網絡流量和日志：

1. NDR，威脅探針，集成高級威脅檢測引擎，IPS/AV等引擎；

2. 網絡安全設備，全面收集并分析日志；

3. 網絡安全設備，支持與平臺聯(lián)動；

終端安全：

1. EDR，支持端點高級威脅檢測；

2. EDR，支持主機異常通信行為；

3. EDR，支持惡意軟件外聯(lián)檢測；

XDR平臺:

1. XDR平臺，全面整合日志和流量等數(shù)據(jù)；

2. 以資產（IP）為核心做安全分析，并給出結論；

3. 基于分析結論，支持編寫全自動/半自動化劇本；

亮點一：層層遞進，跨階段威脅分析

亮點二：頂級威脅情報庫，安全情報實時在線

亮點三：XDR解決方案+多開放接口= 盤活存量安全設備

1. 對接存量安全設備日志，應收盡收。

2. 聯(lián)動存量安全設備，Restful API和SSH，總有一款適合您。

亮點四：基于SOAR的自動化預警通報處置閉環(huán)

“云、網、端”三方對接，協(xié)同防護

1. 構建“云、網、端”XDR方案，持續(xù)“等保”合規(guī)

通過聯(lián)動云端威脅情報/云沙箱，對全網日志/流量關聯(lián)分析出的威脅事件和可疑文件進行驗證溯源，配合終端安全管理系統(tǒng)實現(xiàn)主機側閉環(huán)管控，搭建“云、網、端”全局XDR方案。

2. 靈活三方對接，“盤活”用戶存量安全資產

山石網科XDR方案支持對包括防火墻、WAF、IPS等在內的第三方安全設備進行日志對接，進一步盤活用戶原有的安全資產，共筑安全數(shù)據(jù)底座，有效保護用戶安全建設投入。

3. “APT+勒索”高危惡意行為深度檢測

山石網科威脅探針內置3W條以上檢測規(guī)則，遠超業(yè)內平均水平；同時提供專項勒索檢測模塊，結合權威漏洞與威脅情報庫（源于全球頂級安全情報供應商）有效檢測高危惡意行為。

4. “可視、可查、可控”助力XDR落地

可視：多維度、全方位態(tài)勢呈現(xiàn)（總覽、服務器、威脅、弱點、區(qū)域、終端）

可查：層層遞進、高效分析安全事件（威脅分析檢索、SPL語言日志查詢）

可控：基于SOAR的威脅自動化響應處置閉環(huán)（業(yè)內領先的劇本響應）