深信服XDR全稱是可擴(kuò)展的檢測(cè)與響應(yīng)平臺(tái),可以通過采集網(wǎng)絡(luò)攻擊路徑當(dāng)中網(wǎng)絡(luò)側(cè)、終端、服務(wù)器主機(jī)等等的數(shù)據(jù)生產(chǎn)安全事件,可以通過服務(wù)實(shí)現(xiàn)安全檢測(cè)與響應(yīng)。業(yè)內(nèi)常用的態(tài)勢(shì)感知在檢測(cè)能力主要是通過網(wǎng)絡(luò)流量采集來定位與發(fā)現(xiàn)威脅,但單一的數(shù)據(jù)來源就會(huì)造成非常多的告警(大量的誤報(bào)、不是很精確),用戶沒時(shí)間做合理有效分析。簡(jiǎn)而言之,態(tài)勢(shì)感知比起XDR而言,只分析了網(wǎng)絡(luò)流量,并沒有終端側(cè)的輸入或者終端側(cè)僅僅由EDR分析出來的結(jié)果,因此就會(huì)產(chǎn)生大量告警、大量的誤報(bào)問題。從市場(chǎng)方面來講,因?yàn)榻M件和服務(wù)的豐富,不僅效果要好很多,XDR比態(tài)勢(shì)感知等產(chǎn)品的總體價(jià)格上限也有所上漲。
除此之外,XDR檢測(cè)識(shí)別的方式也有了變化,以前不論是防火墻,還是態(tài)勢(shì)感知,實(shí)際上都是以特征庫/規(guī)則庫的匹配為主。XDR采用的主動(dòng)檢測(cè)方式,可以通過加入一些關(guān)鍵動(dòng)作點(diǎn),去檢測(cè)動(dòng)作點(diǎn)是否有出現(xiàn)攻擊,以實(shí)時(shí)精準(zhǔn)地收集與分析網(wǎng)絡(luò)上發(fā)生的行為,復(fù)原整個(gè)攻擊過程。整個(gè)策略其實(shí)就像零信任的。
XDR平臺(tái)本身就是中心管理的平臺(tái),組件是可擴(kuò)展的。組件涵蓋了網(wǎng)絡(luò)側(cè)的采集器和終端側(cè)的采集器,例如防火墻AF可以當(dāng)作網(wǎng)絡(luò)側(cè)的探針接入XDR平臺(tái),網(wǎng)絡(luò)流量組件探針SIP/NTA(退化的態(tài)勢(shì)感知)、潛伏威脅探針STA、漏洞風(fēng)險(xiǎn)管理產(chǎn)品云鏡,除了網(wǎng)絡(luò)側(cè)還有終端側(cè)、主機(jī)側(cè)的產(chǎn)品接入,例如EDR、CWPP等,這些網(wǎng)絡(luò)側(cè)、終端側(cè)都能做響應(yīng),也能做聯(lián)動(dòng),采集數(shù)據(jù)能夠很細(xì)。
有了平臺(tái)+組件之后,XDR還帶了一個(gè)專家輔助研判服務(wù),后臺(tái)的專家會(huì)對(duì)XDR上報(bào)的事件做真實(shí)性的驗(yàn)證,驗(yàn)證安全事件的確存在,就打上一個(gè)標(biāo)簽。標(biāo)簽可以承諾100%準(zhǔn)確,不會(huì)有誤報(bào)和出錯(cuò)的情況發(fā)生,接著再再配上安全服務(wù),例如MSS服務(wù),或者M(jìn)DR服務(wù)(即輕量版的MSS)。MDR/MSS是主要針對(duì)完全沒有自己處置能力的客戶,MDR可以來幫助他做威脅的處置。當(dāng)然MDR服務(wù)對(duì)比MSS而言就少了一些,比如說資產(chǎn)梳理、資產(chǎn)管理、漏洞監(jiān)測(cè)的服務(wù)。MDR的響應(yīng)流程,就是從發(fā)現(xiàn)到生成工單派單,再到工程師協(xié)調(diào)處置,最后進(jìn)行復(fù)核,一套完整的流程。
XDR售賣模型同時(shí)有SaaS版和本地版,產(chǎn)品定位適合所有客戶,全面覆蓋。針對(duì)中小客戶提供SaaS XDR+組件+方案的組合,針對(duì)大客戶提供本地化XDR的方案。總而言之,XDR也是一款非常全面的平臺(tái)型產(chǎn)品。藍(lán)訊作為深信服的代理,可以為用戶提供深信服XDR產(chǎn)品,歡迎來電咨詢,咨詢電話:18028990096
13580762200/13725734438/18028990096
