“現網簡單堆砌各類的(de)流量監測和(hé)終端檢測設備，多方設備單打獨鬥，以往基于SIEM、SOC等技術手段和(hé)方案，并投入大量人力與成本，依然存在高(gāo)價值告警難以精準定位、響應處置效率低(dī)下等問題……”

這是用戶在實戰攻防演練前，常常表達的(de)擔憂。

如(rú)何将傳統設備單打獨鬥的(de)模式，轉變成真正有效的(de)多方設備協同作戰的(de)模式？深信服XDR的(de)多源數據融合分析能力，精準定位高(gāo)價值事件，提升研判效率，給用戶交上了一(yī)份簡單有效的(de)答卷。

在今年(nián)的(de)實戰攻防演練期間，某國家單位依托深信服XDR作為(wèi)總值守平台，通過多源數據融合分析，發現5起高(gāo)價值事件，研判效率提升65%。

首先，我們要理(lǐ)解，什麽是Open XDR？

基于以AI為(wèi)內(nèi)核的(de)「開放平台+領先組件+雲端服務」理(lǐ)念，深信服提出了「Open XDR」的(de)概念：一(yī)種基于XDR平台的(de)開放融合解決方案，用于滿足三方安全設備數據接入的(de)通用能力。

對于已經建設安全運營中心的(de)用戶來說，基于Open XDR能力，深信服XDR平台也可(kě)以成為(wèi)其聚焦威脅運營、提升檢測效果的(de)子(zǐ)平台。

在數據采集層面，XDR可(kě)與第三方設備數據和(hé)自(zì)有設備數據進行融合分析。

将碎片化的(de)安全設備日志進行有效融合分析，需要經過數據治理(lǐ)與關聯分析兩道(dào)關鍵步驟。

然而，因技術手段有限，多源數據治理(lǐ)，存在數據質量差、建設周期長(cháng)、建設成本高(gāo)等業界難題，深信服XDR又是如(rú)何力排萬難的(de)呢(ne)？

深信服XDR創新采用XStream技術，通過整合多種AI技術，實現三方設備自(zì)動化接入，大幅提升多源數據接入的(de)效率，包含自(zì)動接入引擎、威脅類型自(zì)動理(lǐ)解引擎、智能校驗引擎。

1.AI自(zì)動接入解析

根據接入的(de)第三方數據動态生成對應的(de)自(zì)動解析規則，分為(wèi)采集過濾、識别匹配、規則生成等主要流程，接入設備可(kě)快速學(xué)習适配、快速驗證接入效果。

2.深度理(lǐ)解威脅類型

在實時解析的(de)過程中，将未見過的(de)三方日志規則類型發送到 AI模型做(zuò)此類規則的(de)深度理(lǐ)解，将規則對應的(de)威脅類型寫入緩存中，當遇上同類規則時，即可(kě)準确理(lǐ)解其對應的(de)威脅類型，由此提升告警研判效率，快速挖掘高(gāo)價值告警。

3.智能校驗載荷

對安全日志進行payload二次檢測，輸出二次檢測後的(de)安全日志，可(kě)增強對原始三方日志的(de)檢測能力，糾正威脅等級。

依托XStream技術完成多源數據治理(lǐ)後，數據将流轉到二級告警聚合引擎，結合關鍵的(de)網端關聯能力，XDR平台由此生成精準的(de)攻擊結果。

1.強關聯

當網端兩側檢測到了同一(yī)個命令執行、可(kě)疑文件行為(wèi)或網絡請求，可(kě)以通過命令、文件、攻擊類型因子(zǐ)進行準确匹配。

2.邏輯關聯

當攻擊階段存在攻防場景相關性，通過網絡側攻擊階段的(de)關聯，可(kě)以判斷終端側的(de)可(kě)疑命令執行。

3.弱關聯

通過推測還原事件輪廓，跨階段關聯不同設備的(de)告警，可(kě)以一(yī)定程度上解決斷鏈難題。

需要強調的(de)是，多源數據融合分析的(de)核心在于數據質量。

在高(gāo)質量的(de)數據的(de)基礎之上，結合XStream、網端關聯分析能力，深信服XDR才能保障威脅檢測分析的(de)效果與效率。

因此，深信服XDR将數據質量分為(wèi)三個層級，實現三方組件采集數據能力和(hé)質量的(de)可(kě)視(shì)化，幫助用戶衡量價值和(hé)效果。

針對不同第三方設備的(de)數據，深信服XDR可(kě)展現不同安全效果所需的(de)關鍵字段，以便衡量各類三方數據的(de)質量。

總之，基于以AI為(wèi)內(nèi)核的(de)「開放平台+領先組件+雲端服務」，深信服XDR平台通過自(zì)有和(hé)第三方的(de)流量采集與端點采集組件，将多源數據聚合分析，準确生成安全事件并自(zì)動回溯完整攻擊鏈，結合安全GPT等AI技術賦能，實現「秒級閉環，百倍提效，千萬級降本」的(de)效率和(hé)能力躍升，構建安全運營的(de)全新範式，助力每一(yī)位用戶「安全領先一(yī)步」。