认识XDR-扩展威胁检测与响应平台

Posted 2023-03-30 xiejava1018

近年安全圈XDR的概念非常火，是近几年热点的安全技术之一，究竟什么是XDR，XDR核心能力是什么？能够解决什么问题，XDR与EDR、NDR关系和区别又是什么？让我们带着这些问题一起来认识一下XDR。

一、什么是XDR

XDR 于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出，2020-2021 年连续入选 Gartner 端点安全、安全运营技术成熟度曲线，目前处于创新启动期。

XDR全名是Extended Detection and Response（扩展检测和响应），因为缩写与EDR重名了，所以就取了Extended第二个字母X，缩成了XDR。

Gartner给出的XDR定义为：XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具，它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。

通常情况下，可以认为XDR是一个融合了多种安全检测、响应能力的平台框架，只要是为了解决威胁检测与响应的问题能力模块，都可以往里装。它需要将多个安全产品能力有机的结合在一起，有统一的数据格式、策略、交互界面。相对于EDR（端点的检测与响应）和NDR（网络的检测与响应）来说，特别的强调X的概念，也就是可以扩展（Extended）的检测与响应。这里X覆盖了云、网、端、威胁情报等，EDR和NDR及其他的检测设备都可以作为XDR的能力模块为XDR提供数据来源和检测手段。

二、XDR解决什么问题

近期， Gartner正式发布了2022安全运营技术成熟度曲线（Hype Cycle），正如大家所预测的那样，XDR终于站上了Peak of Inflated Expectations的顶端，成为安全运营体系中最炙手可热的技术之一，具体如下图所示：

那么在企业安全运营过程中究竟有什么困惑，XDR又能解决什么问题呢？

1、安全运营的困惑

• 单兵作战/数据孤岛

企业虽然有了SIEM/SOC等日志类数据分析平台，或是IDS、IPS、WAF、防火墙、EDR等单点安全设备，但前者无法理解下游检测设备告警，数据多而不准，安全误报多；后者获取的数据又有限，不同设备数据还无法紧密集成，最后变成了真实风险看不到，出现威胁防不了。

• 告警疲劳，误报多

安全人员每天都会收到来自不同安全设备的上万条威胁告警，而头疼的是，绝大多数（90%以上）都并非真实威胁，所以安全人员不是身体在处理误报的路上，就是精神在遭受误报的折磨，压力非常之大。

• 全局态势不可见

企业虽然买了一堆的安全设备，这些设备都产生了相应的告警，但是没有形成统一的全局的安全风险态势，对于安全主管来说要重点防范哪些地方，企业的安全建设还有哪些短板，这些都不可以知不可见。

• 响应处置能力弱

发生网络安全事件以后，无法有效溯源，快速的处置，尤其是多设备的联动处置，大多还停留在手工处置的阶段，处置效率先对比较低，不及时。

2、XDR的作用

XDR通过统一的交互框架、统一的数据标准、统一的数据存储方式进行安全数据采集、安全威胁集中分析、安全事件统一处置、响应编排。

XDR的核心作用在于能够跨越不同数据源与IT架构，集中汇集云、网、端、威胁情报等多源安全数据/工具。通过大数据与人工智能、用户行为分析等智能分析手段，对安全数据/事件进行关联分析，还原攻击路径，达到对整个攻击面的全面可视，解决安全孤岛的问题。基于动态更新的事件库与预置处置场景将产出的告警进行自动化编排与分诊，实现自动化响应。解决安全运营过程中数据孤岛、告警疲劳、全局态势不可见、响应处置能力弱的问题，更重要的是将企业安全运营水平和标准化产品挂钩，而非依赖不稳定的个人技术水平。

三、XDR与EDR、NDR的区别

EDR从端点侧做威胁检测，确实能检测到攻击的准确信息，但是端点检测这种方式需要在用户主机上安装检测agent程序，无法覆盖用户所有的资产。并且端点检测的部署成本相比网络检测也更高，对于端点的操作系统、硬件配置、网络情况都有要求。

NDR从网络侧做威胁检测，检测到的更多都是攻击的特征或者攻击意图，此时攻击很有可能并未真正发生，或者并未造成严重后果。如果全部转化为威胁事件，则会造成告警风暴，给运营带来困难。

所以EDR的特点是检测的深但是覆盖面窄，而NDR的特点是检测的浅但是覆盖面广。

XDR则结合了这两者的全部优点，对于重点资产可采用端点检测方式，对于其他资产可采用网络检测方式。XDR平台会将这两种能力检测到的原始事件信息进行自动化关联，最终可将这些疑似的攻击信息，关联分析形成精准的威胁告警事件。

四、XDR的架构和核心能力

1、XDR的架构

因为XDR是一个融合了多种安全检测、响应能力的平台框架，XDR的架构其关键组件包括前端组件（感应器，主要负责数据采集及检测）和后端平台组件（主要负责数据的汇聚、分析、威胁检测、响应处置）

XDR前端组件，由生成安全遥测数据的“触角”（感应器）组成，这些触角包括但不限于EDR（终端检测与响应-Endpoint Detection and Response)、EPP(终端防护平台-Endpoint Protection Platforms)、NDR（流量检测与响应平台-Network Detection and Response)、SSE（安全服务边缘-Security Services Edge)、CWPP(云工作负载安全防护平台-Cloud Workload Protection Platforms)、蜜罐、邮件安全。

而XDR的后端平台，则是吸收所有关键位置的遥测数据、日志、威胁上下文信息，之后再对所有的数据进行关联、高级分析、从而完成威胁检测、调查分析、攻击溯源、工具编排、自动化响应等工作。

从整体架构上XDR可以看成是融合了各安全能力组件（EDR、NDR等）+SDC（安全数据中心）+SIEM/SA（安全信息事件管理/态势感知）+SOAR（安全编排与自动化响应）形成的一个安全运营系统。

2、核心能力

XDR核心能力包括数据集成、检测技术、可视化、编排响应技术。

• 安全数据全面集成

对不同安全设备的数据进行全面的采集包括：内部（资产、脆弱性）、外部（流量、日志）以及云端威胁情报接入等相关安全数据的全面采集，汇聚、分析。

• 安全威胁深度检测

对多源安全告警进行关联分析、规则分析、情报分析、机器学习等，发现潜伏的高级持续性威胁，提升告警检出率和准确率。

• 安全态势集中展示

告警可视、事件可视、攻击可视，从多安全事件、攻击方向、攻击趋势、影响范围等多维度多视角进行态势可视化呈现。

• 安全事件快速处置

通过可视化剧本编排，快速实现人员、流程、工具的有效协同，对接联动安全防护设备，在安全事件发生时自动下发阻断策略，并在必要时下发通知预警，及时完成安全闭环。

XDR成熟度模型如下：

五、XDR应用场景

XDR集中汇集云、网、端、威胁情报等多源安全数据/工具，解决安全运营过程中数据孤岛、告警疲劳、全局态势不可见、响应处置能力弱的问题。可以有效应用于企业常态化安全运营及重保攻防实战对抗场景。

• 日常安全运营场景

日常安全运营，通过XDR提升安全运营的威胁检测能力和响应效率。
精准响应：更好的检测效果及响应能力，解决原有海量告警导致事件难以有效检测、溯源深度不足导致响应效果差的问题，有效应对攻防对抗加剧带来新的安全风险。
风险管理：从被动事件响应转向有计划的风险管理，预防重大安全事件。
处置闭环：采用简单有效的方式开展安全分析、管理、处置工作，实现事件处置的有效闭环管控。
态势可见：安全态势统一呈现，安全运营有地放矢，哪里不足补哪里。

• 攻防实战对抗场景

攻防实战，通过XDR实现异构可扩展的威胁检测响应能力，进行快速响应、加固优化安全措施、攻击反制。
检测深度：更精准的高级威胁检测和安全事件溯源能力。
检测广度：拥有丰富的数据，包括事件完整的上下文信息、原始报文等供客户深度挖掘；全方位的的威胁数据采集，全面的威胁检测分析，全局的态势呈现。
敏捷响应：可进行快速响应、加固优化安全措施、攻击反制。

---

博客地址：http://xiejava.ishareread.com/

深信服EDR终端响应平台

深信服EDR终端响应平台

一、EDR介绍：终端检测响应平台

1.终端安全由传统防病毒向EPP+EDR融合演进
EPP解决已知威胁，EDR解决未知威胁
EPP融合EDR构建下一代终端安全
2.四阶段模型
预防，预测
主动风险分析 预测攻击 基线系统
响应，调查
修复与进行变更 设计/模式变更 调查与取证
组织，防护
强化和隔离系统 转移攻击者 阻止事件
检测，监控
检测事件 抑制事件 确认风险并按优先级排列
3.SAVE 人工智能检测引擎
杀毒能力 具有泛化能力 查杀病毒变种
离线场景 杀毒能力强，能力退化慢，不依赖于云端能力
带宽成本 更新量小，节约带宽成本，不会产生更新带来的网络风暴
内存占用 内存占用小 70M

二、EDR安装部署

1.总体架构
三层
基础平台层 ：负责提供集中管控，云查以及主机代理功能基础能力
核心引擎层 ：负责提供病毒检测，威胁分析以及行为检测等能力
功能展现层： 从预防，防御，检测，响应四个方面，提供全面的安全防护体系
EDR部署结构分为 ： 云端，管理端，客户端（Agent）
2.网络连通性确认
客户端与管理平台使用到TCP ：443，8083，54120 端口
443端口：https服务端口，用于管理平台页面访问，升级包补丁包下载，远程脚本下载。
8083端口：IPC通信端口，用于端和MGR的通信
54120端口：逃生端口，应急情况与agent通信端口，完成agent重启，卸载和脚本执行命令下发
3.硬件首个被一体化
EDR硬件设备eth0口默认地址为10.251.251.251 默认登陆：admin/admin

三、EDR授权和升级

1.授权模式
EDR授权由智防、智控、智响应和服务端防护组成。
一个终端一个授权
一个服务端授权=智防+智控+智响应+服务端防护
2.授权过期
过期后，MGR管理平台，agent终端病毒库和引擎都升级不了，威胁分析功能无法使用
3.授权释放
每上线一个终端占用一个授权。终端离线后并不会自动释放授权，对于长期不在线的终端可以通过移除终端释放授权
4.产品试用授权
试用时间为三个月

四、EDR终端管理

1.自动分组
当需要根据IP地址自动上线到匹配的组，可以使用自动分组管理
2.终端清点
终端清点是由EDR客户端读取终端操作系统信息，已安装的应用软件信息，开放的监听端口信息，终端的系统账户信息和终端硬件信息。
3.基线检查
基线检查能够对Windows和linux系统以下5项安全策略进行合规性检查：
身份鉴别策略组检测
访问控制策略组检测
安全审计策略组检测
剩余信息保护策略组检测
入侵防范检测

五、策略中心

1.基本策略
资产信息登记 终端管理员联系方式 终端弹框提醒 终端防护中心密码
2.病毒查杀
文件信誉检测引擎
基于传统的文件hash值建立的轻量级信誉检测引擎
极速 均衡 低耗
3.实时防护
文件实时监控
webshell检测
EDR能够及时检测web服务器webshell后门，防止攻击者入侵服务器，获取权限
注意：webshell检测只支持检测linux和win server的web服务器站点目录及其子目录webshell文件，winpc终端不支持
无文件攻击
无文件攻击是指利用存在缺陷的应用程序，将代码注入到正常的系统进程，进而获得访问权，并在目标设备执行攻击命令的一种高级攻击手段
4.安全加固
安全加固功能只允许可信进程（EDR手动添加或者自动学习）在服务器运行或访问服务器重要目录，不可信进程无法在服务器运行
此功能只适用于windows server，不适用windows pc 和linux系统。
5.漏洞修复
漏洞修复功能能够检测并修复windows系统漏洞，不适用linux系统和其他应用软件的漏洞修复。

六、EDR响应中心

1.威胁响应
威胁终端视角
威胁终端视角集中显示内网已失陷终端，高可疑终端和低可疑终端情况
威胁事件视角
威胁事件视角集中显示内网不同类型威胁数量（如病毒查杀，勒索病毒，暴力破解，僵尸网络和webshell），以及对这些威胁进行处置，信任，忽略和威胁分析
2.漏洞响应
漏洞响应集中展示EDR检测到windows终端存在的系统漏洞分别从终端或漏洞视角集中显示内网当前漏洞情况，并且可以批量修复
3.威胁定位
快速定位全网存在相同威胁文件的终端
快速定位全网相同威胁域名的终端

七、EDR微隔离

微隔离是一种集中化的流量识别和管理技术
1.访问关系
在东西向访问关系控制上，优先对所所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制策略。
2.原理
微隔离使用windows防火墙WFP和linux防火墙iptables进行访问流量控制和上报的
3.微隔离使用
在用户区出现了勒索病毒时，勒索病毒将会作用135，136，137，445，3389进行传播，在不能即时查杀时，可使用微隔离，对所有终端进行端口封堵。
业务系统梳理
定义对象
配置微隔离策略
效果验证

八、EDR联动管理

1.云网端联动
云脑，云图，和网络设备：如AC(上网行为管理），AF(下一代防火墙），SIP(安全态势感知），端即EDR产品。云网端产品联动安全解决方案，为客户提供应对威胁的云网端纵深防护闭环体系。
2.EDR与AF联动
AF需要和EDR TCP443端口连通
EDR与AF联动，EDR无需配置，在AF上配置
AF能够联动EDR对识别的风险用户进行快速查杀，可以对EDR联动分析的威胁文件进行隔离，信任操作
僵尸网络域名取证
AF联动EDR举证，如果只有恶意域名解析的日志，没有该恶意域名的http流量，EDR无法获取到域名的访问进程，无法进行举证。
3.EDR与SIP联动
EDR管理平台能与SIP的TCP7443联通
SIP能与EDR的TCP443联通
两者任意配置一个都可以实现联动
日志上报
联动封锁，访问控制，联动查杀，进程取证
4.EDR与AC联动
AC需要和EDR TCP443端口连通
EDR与AC联动，EDR无需配置
可以推广部署Agent
联动杀毒

九、EDR客户端使用

1.客户端安装
2.客户端使用
安全中心
病毒查杀
实时保护
系统工具
消息中心
隔离区和信任区