极盾·析策，XDR的正确打开方式

近日， Gartner正式发布了2022安全运营技术成熟度曲线（Hype Cycle），正如大家所预测的那样，XDR终于站上了Peak of Inflated Expectations的顶端，成为安全运营体系中最炙手可热的技术之一，具体如下图所示：

当XDR成功登顶，国内安全产业如何抓住这次机会？

以新兴网络安全公司极盾科技为例，从成立伊始，就围绕业务场景构建检测和响应能力，打造了国内首个实时自适应XDR平台——极盾·析策。帮助企业提升已有安全设备的自动化运营能力、打造“以数据为驱动”的安全运营闭环。

当然，这一切并非一蹴而就。潜力和挑战，一个硬币的两面。

7月28日，【网安新视界】第一季第三课开讲，极盾科技产品负责人李方方带来了独家分享。这一次，一起聊聊XDR的正确打开方式。

四大业务流程模块，打造安全运营闭环

极盾·析策秉承零信任的理念，实时分析持续检测。支持多种安全数据聚合，深入细分场景，聚焦检测分析，及时、精准、高效地感知安全事件。

那么，这一切是如何实现的？

极盾·析策的业务流程主要分成四个模块，分别是数据接入、数据处理、检测分析和安全响应，组合形成XDR（扩展威胁检测及响应）产品体系。

第一个模块是安全设备数据接入，比如EDR、CASB、NTA 、WAF等安全设备。支持内置和自定义各类安全数据“一键”接入，包括但不限于 Syslog、Http API、kafka、文件、IMAP等多协议渠道灵活接入。

安全设备数据接入之后，会进入数据处理模块。通过数据处理模块，快速实现数据结构化标准化，针对不同的安全设备的跨源数据也能实现归一化，以进行后续关联检测分析。基本上对于业内常见的安全产品，以及CEF、JSON、KV等各种日志格式，包括各种非标数据，都能做到数据的结构化处理。数据结构化归一化之后，就可以对这些处理过的数据进行数据挖掘和特征提取。

数据处理完之后，就可以进入检测分析模块。极盾·析策的检测分析模块采用互补的两种思路：以机器学习模型为主进行异常检测，识别未知威胁，从防守者角度检测异常事件；同时以专家经验的规则策略为主进行攻击检测，识别已知威胁，也就是从攻击者角度检测安全事件。为了保证检测分析的效果，还会对整个策略模型做全生命周期的管理，对策略模型效果持续监控，持续迭代优化，保证检测分析的效果。

检测分析完成之后，下一步就是响应模块。可以做事件的响应，可以通过工作流、可视化、自动化来帮助企业实现自动化响应，通过动态告警系统，进行及时地告警。

聚焦检测分析，力求每个环节都做到极致

这四个模块环环相扣，又相互促进，形成“以数据为驱动”的安全运营闭环，从而帮助企业构建坚韧的纵深安全防御体系。

值得一提的是，极盾·析策会更多的关注安全检测分析，力求检测分析的每一个环节都做到极致。那么，一个强大的安全检测分析体系是如何炼成的？

1、深度数据挖掘构建行为特征

极盾·析策支持丰富的体系化的分析维度，构建用户实体（用户、设备、应用、主机等）行为特征。有了行为特征之后，可以完善各种机器学习模型，梳理出更多专家策略规则，从而更进一步进行检测分析。

以上的实现，依托于“高吞吐、高可靠、低延时、可扩展”的指标计算平台，该平台能够通过实时配置、实时生效、实时计算等方式，快速实现行为特征的计算，构建丰富的立体的用户的行为特征，支撑后续的检测分析。

2、深入细分场景提升检测精度

行为特征提取完之后，就是要深入细分场景构建策略和模型，来提升检测精度。极盾·析策沉淀了大量场景模版，包括海量的策略规则、场景模型，帮助企业多场景快速适配。

一些细分场景个性化需求，也支持快速定制、快速上线。方法有二。

第一，规则策略可视化配置。通过可视化界面可以零基础配置复杂规则，实时配置，实时生效。实际上通过规则策略可视化配置，能够快速响应很多定制化需求。比如说，可以在分钟级别就完成新识别出来的行为模式的配置，并针对所有的同种行为模式风险，都能够快速拦截，快速阻断。

第二，模型一键部署上线。模型训练完成后也可以通过配置快速上线，不需要开发，有利于模型快速迭代优化，分钟级别就可以部署上线。那同时也会做模型的监控，比如说模型性能的监控，模型效果的监控，以此来保证模型的稳定运行。

3、持续迭代优化保证检测效果

前面提到，用深度的数据挖掘数据分析，构建用户行为特征；用深入细分场景构建策略和模型，提升检测精度。这个过程之外，还要持续迭代优化，保证检测效果。

首先会依托策略、模型全生命周期管理机制来持续优化检测效果。同时也提供自适应学习、自适应调优模块，来降低迭代调优成本，提升调优的效率。

坚持应用落地，让安全之力化为效能之力

很多时候，企业并不关心XDR的概念，也不关心XDR功能架构设计。关心的是如何从业务场景出发，构建经得起实践考验的细分场景应用。

极盾科技，从创立之初一直秉承着围绕业务场景构建检测和响应能力。因此，我们总结了以下XDR细分应用场景。

安全防护：告警降噪

极盾·析策聚合多个安全设备的告警数据和日志数据，在检测分析模块，进行归类、聚合和去重，通过诸如“是否只在单一设备发生，还是关联多个设备，过往是否持续被上报，是否在异常事件序列之中等”进一步分析告警可信度，减少无效告警，将成千上万的告警信息压缩至几十、上百条，大大降低安全运营工作量。

安全防护：单点设备增强

安全设备数据集成后，可以结合相应的安全场景进行分析，比如明确企业的网络拓扑结构，办公网和生产网检测场景各有侧重点；可以贴合客户业务特性进行分析，比如针对账号登陆、资源访问等，从时间、IP、部门等多维度构建行为特征。在极盾·析策检测分析模块，支持可视化灵活配置多维度指标特征和规则策略，实时配置实时生效。

安全防护：高级威胁挖掘

极盾·析策聚合多源（组织架构、审计日志等）多设备跨层数据，通过智能关联联想增强上下文，汇聚梳理时间线上的行为信息，识别异常行为序列，比如是否出现用户做了事件1、之后事件 2 、事件 3、相比于个体基线和群体基线，识别用户行为模式改变，进行更深层次的威胁分析，比如异常时间登陆、访问大量资源、超出常用范围等。析策通过专家规则+机器学习模型综合分析快速从海量告警中找出最严重、最该关注的高效优先级事件。

安全防护：重保HVV

数据实时汇集：各类安全设备日志、告警、流量统一汇集
威胁实时分析：已知威胁、未知威胁高效识别，深度告警降噪过滤
策略实时生效：风险策略实时配置、实时生效，高效攻防对抗
风险统一溯源：风险数据精准溯源，定位攻击链路
实时响应处置：实时自动响应处置 + 人工核实处置

数据安全：数据泄漏

通过业务系统审计日志、组织架构信息、VPN日志等，检测用户主体在业务系统的异常行为，如账号盗用、暴力爆破、账号共享、特权账号等。
通过堡垒机日志、WAF日志、API网关流量信息，检测某个用户主体访问的内网资源、API数量、敏感数据数量等是否有异常。
通过主机安全产品日志、VPN日志等，检测某个用户主体在主机或服务器的操作异常，如文件传输数据量是否异常、访问行为是否异常等
通过数据库审计日志，检测已授权用户对数据库访问是否异常，如越权访问、已授权数据的恶意更改、滥用或拖库等

综上，我们相信，在实战驱动的大背景下。XDR，作为安全防御的“重装护甲”，必将迎来大爆发。