什么是 XDR（扩展检测和响应）？

XDR 通常用作基于云的解决方案或软件即服务 (SaaS) 解决方案；一家行业分析机构 Gartner 将 XDR 定义为“基于 SaaS”。 它也可以作为某家云或 安全解决方案 提供商的托管式检测和响应 (MDR) 产品的核心技术。

XDR 安全解决方案 可以集成：

XDR 收集所有集成式安全工具中的日志数据和遥测数据，有效创建一个持续更新的记录，用于记录基础架构中发生的所有事件，包括登录（成功和不成功）、网络连接和流量、电子邮件和附件、创建和保存的文件、应用程序和设备流程、配置和注册表更改。   XDR 还收集各种安全产品所生成的特定警报。  

开放式 XDR 解决方案通常使用开放式应用程序编程接口 (API) 来收集此类数据。 （本机 XDR 解决方案可能要求在设备和应用程序上安装轻量级数据收集工具或代理。） 收集的所有数据都经过规范化，并存储在基于云的中央数据库或数据湖中。 

XDR 使用高级分析和 机器学习 算法，在已知威胁或可疑活动发生之前 实时识别指示这些活动的模式。

为此， XDR 会将多个基础架构层中的数据 和 遥测数据 与 威胁情报 服务中的数据相关联；威胁情报服务将提供有关新的和最近的网络威胁策略、 媒介 等的持续更新信息。 威胁情报 服务可以是专有服务（由 XDR 提供商运营）、第三方服务或基于社区的服务。 大多数 XDR 解决方案还会将数据映射到 MITRE ATT&CK（这是一个可免费访问的全球黑客网络威胁策略和技术知识库）。

XDR 分析和机器学习算法还可以自行执行侦查，将 实时 数据与历史数据和已建立的基线进行比较，确定出可疑的活动、异常的最终用户行为以及任何可能指示 网络安全 事件或威胁的内容。 这些算法还可以将“信号”或合法威胁与“噪音”（ 误报事件）区分开来，以便 安全分析人员 可以集中精力处理重要的事件。 最重要的是， 机器学习 算法会不断从数据中学习，以便随着时间的推移更好地检测威胁。

XDR 将在中央管理控制台（也用作解决方案的用户界面 (UI)）中汇总重要数据和分析结果。  安全团队 成员可以在控制台中全面了解企业范围内的每个安全问题，并在扩展基础架构中的任何位置启动调查、威胁响应和 补救措施 。  

自动化是 XDR 实现快速响应的关键。 根据安全团队设置的预定义规则或机器学习算法随时间推移“学到”的知识，XDR 支持自动响应，这有助于加快威胁检测和解析，同时让安全分析人员可以集中精力处理更为重要的工作。    XDR 可以自动执行任务，例如：

XDR 也可以自动执行威胁调查和补救活动（查看下一节）。   此类自动化可帮助安全团队更快地响应事件，并防止或最大限度地减少它们造成的损害。      

一旦确定存在安全威胁，XDR 平台就会提供一些功能，以供安全分析人员用来进一步调查威胁。     例如，取证分析和“追溯”报告可帮助安全分析人员查明威胁的根本原因，识别受其影响的各种文件，并确定攻击者进入并使用网络获取认证凭证访问权或执行其他恶意活动时利用的一个或多个漏洞。

有了这些信息，分析人员就可以协调使用补救工具来消除威胁。   补救措施可能包括：

威胁搜寻（也称为“网络威胁搜寻”）是一项主动式安全活动，安全分析人员可通过这种活动在网络中搜索未知威胁或者组织自动网络安全工具尚未检测或修复的已知威胁。       

另外，高级威胁可能会潜伏数月后才被检测出来，这就为大规模攻击或泄露活动留出了准备时间。   有效且及时的威胁搜寻可以缩短检测和修复这些威胁所用的时间，并减少或防止攻击造成的损害。

威胁搜寻者可以使用多种策略和方法，这些策略和方法依赖于 XDR 在威胁检测、响应和补救时使用的数据源、分析和自动化功能。       例如，威胁搜寻者可能希望根据取证分析来搜索特定文件、配置更改或其他工件，或者搜索用于描述特定攻击者方法的 MITRE ATT&CK 数据。

为了支持这些工作，XDR 可通过 UI 驱动的方法或编程方式向安全分析人员提供分析和自动化功能，以便他们可以执行临时搜索数据查询、与威胁情报进行关联以及开展其他调查。       一些 XDR 解决方案包括专为威胁搜寻创建的工具，例如简单脚本语言查询工具（用于自动执行常见任务），甚至是自然语言查询工具。