如何构建自定义 XDR 安全平台（下）

如何构建自定义 XDR 安全平台（上）

如何获得定制的 XDR 解决方案

对于许多组织来说，现成的 XDR 平台可能是一个不错的选择，但它们可能无法提供您所需的确切灵活性或集成水平。因此，您可能需要评估其他选项。

目前，您可以通过三种方式尝试启用与您的业务相关的 XDR 功能：

1. 利用不同解决方案中类似 XDR 的功能— 扩展检测和响应的概念基于组合功能并使用来自不同安全工具的数据。您可以尝试在不部署专用 XDR 解决方案的情况下获得相同的结果。

好的一面是，您可以准确选择您想要使用的解决方案。关键的挑战是工具的集合越多样化，其管理和配置就越复杂。专用 XDR 平台提供数据管理和事件响应的集中点，从而减少总体管理开销。如果没有这样的平台，几乎不可能保证同等水平的用户体验和数据保护。

2. 定制现成的平台——如果有一个现成的解决方案主要适合您并且只需要稍加改进，您可以考虑根据您的特定需求进行定制。例如，如果您有一个自定义安全系统或想要与 XDR 解决方案集成的特定数据源，您可能需要帮助来构建特殊连接器或实现自定义 API。

但是，请记住，您不仅需要实现自定义改进，还需要随着时间的推移支持新特性或功能，这本身可能会带来额外的挑战。

3. 从头开始构建自定义 XDR 平台- 无论您的组织是在具有特定要求的独特利基中运营，还是您想自己成为托管 XDR 服务的供应商，构建自定义 XDR 都可能是正确的解决方案。

从好的方面来说，开发自定义 XDR 平台使您能够创建一个 100% 反映您的愿景并满足您所有需求（从功能集和安全性到用户体验和设计）的解决方案。

潜在的缺点包括成本高、开发过程长等关键因素，最重要的是，需要利基开发专业知识。咨询专业的业务分析师可以帮助您克服这些缺点，并为您的项目制定最佳的行动方案。

20 多年来，Apriorit 一直帮助科技公司构建完全适合其需求的安全可靠的解决方案。想知道构建定制 XDR 平台是否是您企业的正确选择？与 Apriorit 专家联系，讨论您的个人 XDR 开发或定制策略。

高效的XDR平台的基本架构是什么？

无论您是想从头开始创建自定义 XDR 解决方案，还是尝试利用现有服务和工具提供的类似 XDR 的功能，重要的是要了解首先要关注哪些功能。

当谈到 XDR 平台的功能时，Microsoft 网络安全专家强调了我们已经提到的三个核心功能：

1. 摄取——收集数据

2. 检测——分析收集的数据

3. 响应——管理事件

但如果我们仔细观察现有平台的实际运行方式，核心功能的数量就会增加一倍：

• 与现有网络安全生态系统集成

• 数据管理

• 数据关联

• 威胁检测

• 调查及回应

• 报告和可视化

这些功能中的每一项在 XDR 平台中都至少有一个相应的组件，形成了该平台的基本架构：

让我们仔细看看每个关键功能。

1. 与现有网络安全生态系统集成——XDR平台的成功实施需要它与组织现有的网络安全工具和服务深度集成。通过这种方式，平台用户可以从他们习惯使用的工具中受益匪浅，同时通过 XDR 功能增强他们的能力。

让您的平台轻松与防病毒软件、防火墙、SIEM 和 SOAR 系统等解决方案集成将帮助您：

• 通过自动化重复任务和流程，节省使用平台的安全团队的资源

• 通过在一个地方收集来自不同安全工具和系统的数据来增强威胁检测

• 通过自动化数据关联和可视化来简化安全数据分析，使安全专家能够专注于需要人类专业知识的复杂任务

在技术方面，您的开发团队可以通过不同的方式实现第三方集成：使用 API、特殊连接器或插件。集成方法的选择将取决于您希望平台使用的特定解决方案和服务。

2. 数据管理— 为了提供对组织安全状况的全面可见性并实现高效的威胁检测和响应，XDR 系统需要大量数据。该数据应该以安全有效的方式收集、处理和存储。因此，您的开发团队的大部分工作将用于在 XDR 系统中建立高效且安全的数据管理机制。

由于 XDR 平台不断使用应用程序日志和数据库，您的团队将需要依赖能够实现以下功能的技术：

• 创建可扩展的数据湖和数据仓库

• 结构化和非结构化数据的索引

• 快速数据检索以进行安全分析和关联

只有这样，您才能确保您的安全专家能够有效分析事件，做出主动的数据驱动决策，并维持所需的安全态势。

3. 数据关联——为了从数据分析中获得可操作的结果，XDR 解决方案需要能够精确关联从不同来源接收的数据。这涉及将从内部和外部来源、日志、端点、网络和云环境收到的安全数据组合、比较和深入分析到威胁情报源。

高质量数据关联带来了几个有意义的好处：

• 提高威胁检测的准确性

• 减少自动事件响应中的误报数量

• 丰富的事件调查背景

• 高效检测高级威胁

• 威胁情报和主动威胁搜寻

4. 威胁检测——定位和处理网络安全威胁是XDR平台的关键任务之一。与传统的网络安全解决方案相比，XDR 依赖于机器学习算法和人工智能驱动的行为分析等复杂的解决方案。他们分析来自不同来源的数据，并寻找潜在攻击或事件的高级、非明显指标。

为了提高威胁检测的有效性，将 XDR 系统与新威胁和威胁指标的高级数据集成非常重要。此类信息的一种可能来源是威胁情报源。使用这些源，您可以确保您的 XDR 平台能够：

• 反应性地检测和响应现有的安全威胁，寻找恶意软件签名和已知攻击的其他指标

• 主动寻找潜在的零日漏洞和试图逃避检测的高级新威胁，寻找恶意行为的特征

威胁检测功能的高质量实施对于确保我们将要讨论的下一个 XDR 功能的高效性能至关重要。

5. 调查和响应——使安全团队能够有效地响应和调查网络安全事件是XDR工具的主要目的之一。为了使您的 XDR 解决方案真正高效，实施自动和手动事件响应的必要手段非常重要。

对于具有明确决定因素的事件，例如连续三次登录尝试失败，应实施自动响应场景。响应将根据事件和上下文而有所不同，范围从额外的用户身份验证到永久阻止用户或进程。

自动事件响应提供了两个重要的好处：

• 缩短响应时间，最大限度地减少事件的潜在影响

• 降低安全团队的开销，为需要手动评估和调查的案例释放专家资源

然而，并非所有事件都可以自动处理。在某些情况下，在采取进一步行动之前获得人类专家的评估非常重要。为了实现此类场景的精细配置，实施具有丰富定制功能的灵活警报系统非常重要。

6. 报告和可视化——为了使您的 XDR 平台成为真正对安全团队有帮助的工具，包含强大的数据可视化和报告功能非常重要。考虑数据分析的默认指标、报告模板和可自定义仪表板等功能。您可能还希望合并特殊的数据可视化库和框架，例如D3.js、Plotly或Tableau，以便在 XDR 系统中创建自定义数据可视化和图表。

对于安全专家来说，此功能将成为有关基础设施当前状态的系统化信息来源。利用多级数据分析的结果，安全专家可以：

• 评估组织的整体安全状况

• 确定进一步优化和改进的领域

• 为通过内部评估和外部合规审计做好准备

XDR 平台将分析数据中的关键要点收集和总结为结构良好、信息丰富的报告，然后将其转化为易于分析的视觉效果，还使公司管理层和利益相关者更容易就业务做出明智的、数据驱动的决策。组织的安全。 

但为了确保 XDR 的最终数据安全，您的开发团队不仅需要规划构建核心功能，还需要规划降低可能的风险。您可以在下一节中了解首先关注哪些因素。

如何解决构建自定义 XDR 平台的常见风险

除了选择最适合您的情况的特性和功能集之外，您的开发团队在使用 XDR 平台时还应特别注意以下几个风险：

1. 集成潜力有限——您希望平台兼容的第三方工具和服务越多，开发过程的复杂性就越大。无法处理不同的数据格式或对 API 集成的支持有限等问题可能会损害平台的整体性能和数据处理能力，甚至导致供应商锁定。此外，如果不与安全工具和系统无缝集成，就很难有效地编排您的平台。

如何解决此风险：设计和构建平台时考虑到集成的可能性。启用对开放 API 的支持，以降低供应商锁定的风险，并使您的平台易于集成。确保安全地集成所有需要的 API 并在此过程中运行彻底的 API 测试。如果需要，请考虑构建自定义 API来扩展 XDR 平台的功能。

如果需要，您还可以计划从旧系统和安全服务中迁移数据，以确保解决方案中历史数据的连续性。

案例研究：
支持和改进遗留数据管理软件

2. 数据质量差——机器学习算法和人工智能驱动的系统是任何高效 XDR 平台的核心。他们负责从不同来源收集单独的威胁指标，将它们关联起来，并重新创建潜在威胁或攻击的全貌。数据是任何人工智能系统的主要弱点。如果没有高质量的数据，您的人工智能模型可能会产生不准确的结果，从而使威胁检测和响应变得更具挑战性，而不是简化它。

如何解决此风险：选择与您的特定用例最相关的数据源。寻找可以输入人工智能模型的内部数据，并聘请人工智能专家组成的专家团队，他们可以正确清理和注释您的数据，构建高效的模型，并将其训练到完美。 

3. 威胁检测不足——产生过多误报或漏报的平台会恶化组织的网络安全状况，并导致安全团队出现警报疲劳。XDR 平台性能低下的主要原因包括使用低质量的数据和低效的机器学习和人工智能算法、缺乏配置灵活性以及过度依赖过时的基于签名的威胁检测机制。

如何应对这一风险：除了关注数据和人工智能解决方案的质量外，还要确保使用相关的威胁情报源并将下一代威胁检测机制纳入您的平台中。此外，请尽早规划平台内安全规则和警报的高级可定制性。

4. 平台可扩展性低——随着平台的发展，它需要处理更大的数据量并服务更多的用户。如果在设计阶段没有考虑到工作负载的突然激增和用户的增加，您最初有效的平台可能会变得不足且难以使用。

如何解决此风险：通过使用先进的数据存储和检索机制设计分布式平台架构，并付出额外的努力来高效编排和自动化基于云的操作，从而尽早规划平台的未来增长。

5. 不合规— 根据您所在的行业和地区，您可能需要遵守不同的要求。对于大多数处理个人数据的组织来说，遵守 GDPR 是必须的。处理持卡人数据的组织必须遵守 PCI DSS，而医疗保健服务提供商则必须遵守 HIPAA。未能满足适用要求可能会导致重大声誉损害，并因违规而导致巨额罚款。

如何应对此风险：确定您必须或想要遵守的合规性要求，并考虑关键措施和功能，以在设计和构建平台时确保合规性。当您的平台投入使用时，运行相应的测试和合规性审核。

结论

为了有效缓解新兴的网络安全威胁，企业需要部署先进、复杂的安全解决方案，例如 XDR。但是，如果您的企业对平台的灵活性、可扩展性、安全性和合规性有特定要求，那么市场上提供的解决方案可能并不完美。