一、 建设背景

随着数字化转型战略的深入推进，大数据、云计算、人工智能等相关前沿新技术大规模应用，“线下业务线上化、线上业务移动化”等各类新型数字化业务模式广泛应用，新型风险显著增加。同时，外部网络安全形势日趋严峻，由经济利益与商业竞争驱动的有组织网络安全事件频发，给网络和信息系统安全运行保障带来前所未有的挑战。

在网络安全保障建设方面，各方对网络安全工作高度重视，经过多年的大力投入与建设，已构建全面覆盖“云、网、端”完整的网络安全纵深防御体系，同时依托“SIEM”构建了一套较为成熟的安全运营体系，在保障业务安全稳定运行中发挥了应有的作用。但随着网络攻防技术的发展和网络安全形势的加剧，原有的安全防御体系面临的挑战也越来越突出。

在上述背景下经过调研、技术预研和方案预研一系列准备工作之后，基于实际的安全场景，结合安全厂商积累的情境安全模型，构建高效的安全算法与模型，融合大数据与威胁情报分析技术，构建情境分析能力，提升高级危威胁的检测与预警能力。

二、 项目建设内容

通过平台+数据遥测源构成持续检测快速响应的XDR平台技术架构。本方案总体框架包括数据源、数据接入层、数据存储与计算层、安全能力层、安全业务管理层，总体框架如图所示。

XDR顾名思义包括检测和响应能力，需要集成全面、完善的检测技术在行业内没有争议，但在响应技术上还有不同的认识。全面、完善的检测技术，即需要包括：

l传统的特征检测（恶意代码特征、漏洞特征、IOC失陷指标）；

l启发式检测（对抗混淆、加壳恶意代码的一种检测方式，关注代码运行过程中的恶意行为检测）；

l基于行为的检测（IOA攻击信标）；

l各种威胁狩猎能力，包括被动、主动和自动化不同的方式。

  凭借IOA、IOC检测技术结合、网端关联聚合分析，对于无文件攻击、白利用、凭证窃取、加密流量、0day漏洞、挖矿、无回包攻击成功、隧道代理、恶意下载、鱼叉钓鱼、进程注入、免杀工具等威胁类型有显著检测能力优势；对于Webshell场景、加密挖矿、精准漏洞攻击、数据外泄、恶意软件溯源、跨进程链关联、跨终端安全事件存在高可见性优势；在响应处置方面，存在可推荐跨进程链的处置对象的优势。

三、 项目创新点

1、多源采集数据异构

       在内部的不同区域通过部署了多个厂家的终端采集Agent，并将采集到的数据汇总到了统一的数据分析平台；通过对不同源数据的理解将终端采集到的行为日志如进程创建、文件操作、命令执行、网络连接等数据，采集的数据进一步细化与以往的EDR数据相比，新增了不同等级的遥测数据如对遥测数据的颗粒度更细；进行标准化的统一格式处理，极大程规避了终端软件的替换切保护了既有的安全投资的同时，又做了安全能力的标准化与能力异构。

2、遥测数据与安全能力的解耦合

       以往的不同厂家的安全遥测数据仅能与自身的安全能力进行分析与关联，往往无法在同一个场景或平台当中发挥各自的优势；深究其原因主要是由于安全厂商未能安全的遥测数据与自身的安全能力进行解耦，并独立进行发布；本项目在实施的过程中通过将不同的安全厂商的遥测数据进行标准化处理，通过将安全能力的接口进行标准化，可在安全平台当中实现对不同的来源的安全遥测数据进行分析，且安全效果与原生的安全效果无差异性；同时，安全能力侧可以通过配置文件的方式进行任意的添加与修改，保障了在安全能力能够更多的结合自身的网络环境/应用系统环境与面临的安全威胁，能够进行针对性的添加，在当前的快速变化的安全威胁场景当中能够快速的针对性配置，动态实时保护。

3、 安全能力可生长性

       根据接入的数据不同，上层可以按需长出对应的能力效果，一期接入端点数据实现高级攻击检出、进程链还原、端点数据调查狩猎等。二期可以接入多源数据，构建集成端点、网络、云计算等各类风险数据，构建更加全面的监测与统一分析能力。

       同时依托于API框架+APP store，可以实现基于API查询（拉模式）检测到的安全事件、告警列表、详情，或注册外部Kafka（推模式）接收检测到的安全事件、告警详情。持多个第三方厂商的应用一键式安装、对接，类如SOAR、威胁情报、沙箱、或其他场景化APP。

四、方案价值

1、提升运维效率

     1）通过自动化多源数据取证分析，在检测的同时收集研判数据，实现快速研判；

     2）精准还原安全事件故事线，快速溯源；

     3）提供电子化流程，安全事件自动处置能力，提高深信服各级单位事件流转处置效率。

2、 提升建设效果

    1)通过XDR平台提供的端网数据关联分析、IOA检测、自动化根因分析等技术，提升深信服行业整体

       安全事件检测效果；

    2)精准事件响应提升了安全事件处置效果，使得流程流转更加高效；

    3)从整体建设效果来看，显著降低建设成本、维护成本和使用成本。

 五、用户案例及评价

1、 XX银行

通过平台+数据遥测源构成持续检测快速响应的XDR平台技术架构。本方案总体框架包括数据源、数据接入层、数据存储与计算层、安全能力层、安全业务管理层，将端多源遥测数据整合，用以精准地描述网络世界发生的事件，支撑开展全网的风险分析、检测、溯源、展示等；同时后续可以将网络全流量数据、应用日志、VPN、堡垒机审计日志等遥测数据源补充进来，构建多源数据统一数据模型能力。依靠在高价值0day漏洞检出、加密流量、进程链关联举证等硬核能力上，得到用户高度认可。

2、 XX能源

通过融合，成为威胁检测响应子引擎，消费已有平台的数据进行聚合分析，以及一手遥测数据深度分析发现高级威胁。关键价值：1）XDR基于IOA的检测有助于发现实战攻防中的隐蔽威胁，解决之前被中马导致失分的情况；2）XDR的攻击溯源能力，可以非常直观的看到攻击入口点，是因为什么漏洞被打了进来；3）XDR的攻击故事线（进程链），可以看清攻击者进来以后做了什么，造成的影响面有多大，便于事后进行响应处置。

六、经济效益和社会效益

1、通过XDR方案应对日新月异的网络攻防技术，包括各种变种病毒、无文件攻击、安全防御绕过、零日漏洞攻击等新型高级威胁，减低经济损失。

2、网络安全的博弈对手在不断升级，随着国际形势的日益复杂，作为关键基础设施运营单位，面临着来自国家层面的对抗风险，XDR技术方案满足对安全事件响应、研判、处置的及时性和准确性的要求；

3、随着黑客攻击攻击手段越来越隐蔽，安全事件的溯源分析难度急剧上升，通过XDR技术方案给安全运营人员提供调查狩猎的工具，提高攻防对抗能力。

七、可复制实践性说明

通过XDR技术方案提升安全事件检测和响应能力，降低安全运营成本，有效展示了网络安全工作成果，形成统一、高效的网络安全数据治理、数据融合、检测分析、调查狩猎和响应闭环机制。