“現(xiàn)網簡單堆砌各類的流量監測和終端檢測設備，多方設備單打獨鬥，以往基于SIEM、SOC等技術手段和方案，并投入大量人(rén)力與成本，依然存在高價值告警難以精準定位、響應處置效率低(dī)下(xià)等問題……”

這(zhè)是用戶在實戰攻防演練前，常常表達的擔憂。

如(rú)何将傳統設備單打獨鬥的模式，轉變成真正有效的多方設備協同作(zuò)戰的模式？深信服XDR的多源數據融合分(fēn)析能(néng)力，精準定位高價值事(shì)件，提升研判效率，給用戶交上(shàng)了(le)一(yī)份簡單有效的答(dá)卷。

在今年的實戰攻防演練期間(jiān)，某國家單位依托深信服XDR作(zuò)為(wèi)總值守平台，通過多源數據融合分(fēn)析，發現(xiàn)5起高價值事(shì)件，研判效率提升65%。

首先，我們要理(lǐ)解，什(shén)麽是Open XDR？

基于以AI為(wèi)内核的「開放(fàng)平台+領先組件+雲端服務(wù)」理(lǐ)念，深信服提出了(le)「Open XDR」的概念：一(yī)種基于XDR平台的開放(fàng)融合解決方案，用于滿足三方安全設備數據接入的通用能(néng)力。

對于已經建設安全運營中心的用戶來(lái)說(shuō)，基于Open XDR能(néng)力，深信服XDR平台也(yě)可以成為(wèi)其聚焦威脅運營、提升檢測效果的子(zǐ)平台。

在數據采集層面，XDR可與第三方設備數據和自有設備數據進行融合分(fēn)析。

将碎片化(huà)的安全設備日志進行有效融合分(fēn)析，需要經過數據治理(lǐ)與關(guān)聯分(fēn)析兩道關(guān)鍵步驟。

然而，因技術手段有限，多源數據治理(lǐ)，存在數據質量差、建設周期長、建設成本高等業界難題，深信服XDR又是如(rú)何力排萬難的呢(ne)？

深信服XDR創新(xīn)采用XStream技術，通過整合多種AI技術，實現(xiàn)三方設備自動化(huà)接入，大幅提升多源數據接入的效率，包含自動接入引擎、威脅類型自動理(lǐ)解引擎、智能(néng)校(xiào)驗引擎。

1.AI自動接入解析

根據接入的第三方數據動态生(shēng)成對應的自動解析規則，分(fēn)為(wèi)采集過濾、識别匹配、規則生(shēng)成等主要流程，接入設備可快(kuài)速學習适配、快(kuài)速驗證接入效果。

2.深度理(lǐ)解威脅類型

在實時(shí)解析的過程中，将未見過的三方日志規則類型發送到 AI模型做此類規則的深度理(lǐ)解，将規則對應的威脅類型寫入緩存中，當遇上(shàng)同類規則時(shí)，即可準确理(lǐ)解其對應的威脅類型，由此提升告警研判效率，快(kuài)速挖掘高價值告警。

3.智能(néng)校(xiào)驗載荷

對安全日志進行payload二次檢測，輸出二次檢測後的安全日志，可增強對原始三方日志的檢測能(néng)力，糾正威脅等級。

依托XStream技術完成多源數據治理(lǐ)後，數據将流轉到二級告警聚合引擎，結合關(guān)鍵的網端關(guān)聯能(néng)力，XDR平台由此生(shēng)成精準的攻擊結果。

1.強關(guān)聯

當網端兩側檢測到了(le)同一(yī)個(gè)命令執行、可疑文件行為(wèi)或網絡請求，可以通過命令、文件、攻擊類型因子(zǐ)進行準确匹配。

2.邏輯關(guān)聯

當攻擊階段存在攻防場(chǎng)景相關(guān)性，通過網絡側攻擊階段的關(guān)聯，可以判斷終端側的可疑命令執行。

3.弱關(guān)聯

通過推測還原事(shì)件輪廓，跨階段關(guān)聯不同設備的告警，可以一(yī)定程度上(shàng)解決斷鏈難題。

需要強調的是，多源數據融合分(fēn)析的核心在于數據質量。

在高質量的數據的基礎之上(shàng)，結合XStream、網端關(guān)聯分(fēn)析能(néng)力，深信服XDR才能(néng)保障威脅檢測分(fēn)析的效果與效率。

因此，深信服XDR将數據質量分(fēn)為(wèi)三個(gè)層級，實現(xiàn)三方組件采集數據能(néng)力和質量的可視(shì)化(huà)，幫助用戶衡量價值和效果。

針對不同第三方設備的數據，深信服XDR可展現(xiàn)不同安全效果所需的關(guān)鍵字段，以便衡量各類三方數據的質量。

總之，基于以AI為(wèi)内核的「開放(fàng)平台+領先組件+雲端服務(wù)」，深信服XDR平台通過自有和第三方的流量采集與端點采集組件，将多源數據聚合分(fēn)析，準确生(shēng)成安全事(shì)件并自動回溯完整攻擊鏈，結合安全GPT等AI技術賦能(néng)，實現(xiàn)「秒(miǎo)級閉環，百倍提效，千萬級降本」的效率和能(néng)力躍升，構建安全運營的全新(xīn)範式，助力每一(yī)位用戶「安全領先一(yī)步」。