如何构建自定义 XDR 安全平台（上）

数据可以说是互联网时代的黄金和钻石。黑客一直在虎视眈眈的盯着这块肥肉，他们不断地计划、准备和执行复杂的有针对性的攻击，剥夺企业有价值的数据。

扩展检测和响应 (XDR) 提供了一种保护业务数据免受高级威胁的方法。XDR 安全解决方案旨在简化事件响应，为安全团队配备创新的威胁检测技术，以改进和加速响应工作流程。然而，大多数现成的 XDR 平台仅涵盖常见任务，迫使具有独特安全需求的组织寻找可定制的选项。

在本文中，我们将仔细研究 XDR 平台的本质，讨论 XDR 的优势，比较不同类型的平台，并分析常见架构和功能集。我们还概述了如果您决定构建或定制这样的平台需要注意的事项。本文将有助于技术领导者评估各种实施选项并考虑创建自定义 XDR 解决方案。

如何利用 XDR 增强业务数据安全

业务数据驻留在多个端点并通过无尽的渠道流动，形成了一个如此庞大和复杂的安全环境，传统工具无法再对其进行保护。 

由于没有集中的地方来监控、分析和管理数据的安全性，企业在面对高级威胁和复杂的网络安全攻击时常常感到茫然不知所措。最近迫切需要转向远程工作，这凸显了拥有这样一个集中的数据可见性和管理点的重要性和价值。

针对这一需求，安全专业人士提出了一个新概念：扩展检测和响应。

什么是 XDR 平台？

虽然 XDR 平台还没有统一的定义，但该概念的创建者Nir Zuk和Microsoft提出的流行定义可以总结如下：

XDR 平台是一种解决方案，它提供了一个统一点，用于从各种来源收集安全数据，从而实现上下文数据分析、高级威胁检测和有效响应。

XDR 安全平台的概念可以被视为其前身演变的下一步：

• 端点检测和响应 (EDR)

• 安全信息和事件管理 (SIEM)

• 安全编排、自动化和响应 (SOAR)

XDR 系统应该与其前身有效集成，不仅包括先进的 EDR、SIEM和 SOAR 系统，还包括防火墙和防病毒软件等更常见的工具。利用所有这些工具和系统作为数据和功能源，XDR 使安全团队最终能够克服他们过去处理的限制和网络安全问题，我们将在下一节中介绍这些问题。

您的企业如何从使用 XDR 平台中受益？

尽管 XDR 解决方案的功能集可能有所不同，但它们的目标保持不变 - 帮助安全专家解决传统网络安全工具的常见局限性：

• 来自不同安全工具和服务的孤立数据。此类数据降低了威胁检测和事件响应的效率，因为安全专家必须手动关联不同来源的数据才能了解事件的全貌。XDR 平台可以通过将来自不同系统、服务和工具的数据聚合到一个地方来帮助简化数据管理。

• 缺乏跨多个安全层的可见性。大量安全数据来自不同的 IT 环境：端点、网络和云。使用传统的网络安全工具，很难从所有数据中构建出一个大的、统一的图片。例如，通过 EDR，您可能会看到攻击者使用的入口点，但有关攻击的进一步分布以及受其影响的用户和系统的信息有限。XDR 解决方案扩展了整个 IT 基础设施的可见性，使安全专家能够关联来自不同来源的威胁指标并获取每个事件的完整背景。

• 大量误报导致警报疲劳。这给安全团队带来了不必要的开销，并增加了低效处理造成真正危险的事件和威胁的风险。XDR 平台可以通过统一从不同来源收集的数据、应用高级警报规则以及提高整体工作流程自动化来减少发送给安全团队的警报数量。 

• 来自多种攻击媒介的高级威胁以及使用机器学习 (ML) 和人工智能 (AI) 等先进技术执行的攻击。传统安全解决方案很难检测到此类威胁。通过应用先进的分析技术、机器学习和人工智能机制来关联和处理收集的数据，XDR 工具可以更轻松地检测和响应此类威胁。

• 主要基于手动操作的不良事件响应很容易出现人为错误，并通过增加平均响应时间来升级威胁。借助 XDR，您可以访问改进的威胁分析和响应操作的精细自动化，从而提高安全团队的效率。

借助 XDR 平台检测威胁并缓解威胁的通常工作流程包括三个主要阶段：

1. 摄取— 从不同来源收集数据：端点、云环境、网络流量等。

2. 检测— 使用先进的机器学习算法和人工智能模型关联和分析收集的数据。

3. 响应— 根据检测到的威胁的优先级安排自动响应，并收集手动调查所需的上下文数据。

虽然 XDR 安全概念相对较新，但企业已经面临多个 XDR 平台可供选择。在以下部分中，我们将讨论在寻找适合您业务需求的 XDR 平台时应注意的事项，以及如何确定构建自定义平台是否对您有利。

选择正确的 XDR 解决方案时应遵循的标准

在决定将哪种现成 XDR 产品用于组织的网络安全时，请注意以下三个主要标准：

• 所需功能— 在完成相同的高级任务的同时，现成的 XDR 安全工具提供不同的功能集。有些可能拥有更强大的人工智能模块，而另一些则提供复杂的数据保护机制。做出最终选择时请考虑您的个人要求。

• 配置灵活性— 您希望 XDR 系统的灵活性越高，找到合适的系统就越困难。然而，在配置数据聚合、事件响应场景或报告时，灵活性至关重要。提前确定您想要高度可定制的功能。

• 易于管理——作为一个复杂的解决方案，XDR 平台可能很难编排和管理。根据平台的类型（稍后详细介绍），您可能需要付出额外的努力来配置和维护它。

了解这些标准将帮助您确定 XDR 系统的核心要求，从而找到适合您的系统。 

评估现成的 XDR 解决方案时需要考虑的另一个重要细节是平台类型。目前，您可能会遇到两种常见的XDR解决方案：

1. 原生 XDR 平台集成了来自单一供应商的安全工具和解决方案。此类平台的主要优点之一是最大限度地减少兼容性和集成问题。与此同时，这些平台最容易受到供应商锁定，因此灵活性最差。使用第三方工具扩展平台功能的选项并不多。

本机 XDR 的常见示例包括 Microsoft 365 Defender、Cisco XDR 和 Palo Alto Networks Cortex XDR。

2. 开放XDR 平台不限于单一供应商的产品和服务。虽然仍然提供集中式平台管理功能，但它们依赖于不同供应商的第三方工具和服务。与原生平台相比，此类平台往往更加灵活，但仍然存在供应商锁定的风险，因为您很少能够选择核心功能的提供商。

据 Gartner 称，开放 XDR 包括 Splunk、LogRhythm 和 QRadar。

一些 XDR 供应商以托管服务的形式提供解决方案。与云服务提供商类似，托管检测和响应 (MDR)供应商自行帮助企业配置和编排其网络安全资源。然而，就像常规云服务一样，默认的 MDR 服务是基于订阅的，这对于某些企业来说可能不是最佳的财务解决方案。它们还提供有限的可扩展性和灵活性，并且并不总能满足医疗保健或金融等受到严格监管的行业的独特要求。

据 Gartner 称，提供 MDR 服务的供应商包括 Sophos、ReliaQuest 和 Arctic Wolf。

如果现有解决方案没有完全满足您的要求，您可以考虑可能的自定义选项 - 下一节将详细介绍。