前言： XDR（Extended Detection and Response，扩展检测与响应）是近几年产业热点安全运营技术之一，总体来说,将各安全能力协同组织并集约化于统一平台,进行调度、管理和分析。本文通过详细解读 XDR 技术以及启明星辰泰合盘古平台对 XDR 技术能力支撑，帮助大家更好地理解 XDR。

精简高效的 “SOC”

在 Gartner《Hype Cycle for Security Operations, 2021》报告中指出，XDR 是特定供应商的威胁检测与事件响应工具，能够将多个安全产品集成至统一安全运营系统，主要功能包括安全分析、告警关联、事件响应和事件响应剧本自动化。 从 Gartner 提出的定义中，以下三大方面尤为重要：

1、特定供应商。由特定供应商提供能够整合各种安全能力的 XDR 平台，进行统一交付和统一维护，让用户得到简单易用的一站式安全价值，进而达到最好的安全效果、最小的运维成本及交付成本。

2、统一安全运营系统：随着安全产品种类日益繁多及安全设备数量庞大，用户急需能够统一管理各安全能力及统一采集、分析、响应的一体化、易操作的安全运营平台，成为了 XDR 技术发展的驱动力。

3、事件响应剧本自动化：XDR 除了传统 SIEM 能力外，事件响应以及围绕事件的自动化处置是其中必备的核心能力，响应提供处置能力以完成安全闭环，自动化编排则提供易用性和扩展性的基础保障。

整合安全能力 协同大作战

“能用众力，则无敌于天下矣；能用众智，则无畏于圣人矣”。面对当今繁复多变的网络安全环境，不孤立地看待问题、分析问题、处理问题成为网络安全供需双方的共同认知。

一是孤立的安全数据急需深度聚合。打破安全数据孤岛、全局分析防护环境的整体态势、降低误报漏报及提升告警质量，是面对当前复杂网络环境的必要方式，也是网络安全产业共识。

二是孤立的原子能力急需协同闭环。面对日益复杂的入侵过程和手段，需要打通识别、防御、检测、响应、恢复的安全全过程，通过自动化、可扩展的方式提供 “军团级” 的实战化防御能力。 XDR 系统总体是基于数据湖及其配套数据处理能力形成数据中台。基于中台构建面向日志/告警/情报的数据流和面向安全策略的指令流，同时结合面向安全场景的事件分析系统、工作流编排系统、API 集成系统形成自动化安全协同防御体系。在落地实现时，以下几项为关键环节：

1、在安全数据处理方面，面对大量安全节点报出的业务系统、终端设备等海量告警，XDR 系统可自动完成降噪和分诊的工作，大幅提高响应效率和自动化效能。

2、在威胁分析方面，XDR 系统基于风险视角实现安全管理、基于海量告警实现复杂关联分析、基于内外威胁情报实现识别、基于用户实体实现异常发现，形成多维度、可持续的威胁评估和分析系统。

3、在自动化响应处置方面，XDR 系统具备 SOAR 系统基于工作流的剧本编排能力，而不同于 SOC/SIEM 中的 SOAR 系统，XDR 的剧本通常具有场景特性以构建专精的、可扩展的安全自动化剧本。

4、在部署和交付方面，XDR 系统结合国内 IT 特点，同时支持云地两种模式的交付方式，以面对不同业务特性、安全需求的环境，从而建设本土化、优质的 XDR 系统。

云是对象是载体也是助力

在云计算环境中，基础设施能够实现动态、弹性的组合和变化，物理边界的打破也让包括计算、网络、存储等的各资源能够快速、灵活的弹性组装，是打破安全孤岛、实现网络安全互联互通互操作的典型技术场景。

从安全防护视角来看，一方面，弹性动态的虚拟化场景要求新的安全防护架构。面对云化场景时，传统以 IP 或指纹为识别方式的防护模式不再适用，实体识别、行为辨析、异常关联等技术需要进行相应调整，安全策略和响应决策也需要随业务和虚拟化基础设施的变化而变化，围绕身份和信任、从持续自适应的角度实现新的安全架构。另一方面，弹性的基础设施为安全能力协同提供便利。支撑安全服务提供性能、能力、资源的可持续扩展，快速的可迭代能力，也为安全服务的持续增值提供便利。

依托统一运营平台，提供可持续增值的多维度安全服务是 XDR 技术的显著特点。基于国外在基础设施云化成熟度和 SaaS 服务提供能力，以云的方式进行交付是提高安全服务交付效率、提高安全能力持续性供给能力以及降低安全供应商成本的有效手段。

一方面，数字化转型已成为持续性国家战略，新基建、5G 等新型场景的发展，要求网络安全需要更多地考虑云场景的需求。

一是 XDR 技术需要对云场景下的业务进行适配和防护。XDR 的各项安全能力、策略调度、分析手段需要进行云化设计和适配以应对云场景资产的动态变化、策略的动态迁移、信任边界的打破等一系列特征带来的挑战。

二是 XDR 技术需要基于云化基础设施进行云原生化设计。安全产品的云原生化设计指安全产品自身的设计需要充分考虑将云作为基础设施来承载安全服务，通常需要考虑虚拟化环境下的适配和调优、可扩展插拔的货架式架构、大规模数据中台架构、原生多租户/多云支持等一系列问题。

三是 XDR 技术需要充分利用云场景下的新特性全面提升安全服务能力。XDR 技术无论用于解决云场景下安全问题还是用于地端安全问题，都可以充分利用云化基础设施下的各种新特性以提高自身能力，如使用容器化、微服务化等能在云上充分发挥优势的技术，又采用 DevOps、DevSecOps、零信任、CARTA 等研发和安全设计理念。

另一方面，由于我国基础设施云化水平与国际存在差距，地端防护架构仍是主流防护场景。

一是 XDR 技术需要对地端场景提供防护。对新建设安全方案的企业来说，XDR 技术能够提供一站式的安全防护，大幅降低企业在安全解决方案上的建设难度；面向有条件的企业，XDR 技术能够通过云化交付的方式降低交付难度；对已有安全产品、需要统一安全管理的企业来说，XDR 技术基于应用集成和安全编排技术，实现原有安全设备和服务的利旧，降低企业安全升级的成本。

二是 XDR 技术需要支持地端私有化部署。对无法提供云化部署或安全性敏感度较高的客户，提供私有化部署的能力，运用一体化硬件或通用硬件软件交付的方式，完成特殊场景的支持。在这样的场景下，XDR 产品的设计需要充分考虑产品的可升级性，保障安全能力和安全价值的持续提升。

面向未来无限可能的 “X”

在 Gartner 新发布的《Market Guide for Extended Detection and Response》里，已经将 XDR 技术扩展至 FWaaS、NDR、SWG、EDR、UEM、DLP 等能力的综合体，因此，XDR 中的 “X” 代表着安全能力的持续性扩展，结合数据中台技术、自动化编排技术及安全分析技术，形成面向多种甚至未知安全场景的综合型安全解决方案。

如果说 SOC 已逐渐发展为一个由统一运营平台整合，那么 XDR 则为通过统一运营系统、提供面向多维场景的变形金刚。XDR 不应局限为 EDR、NDR 和 MDR 的集合，而更应该注重 “X”，技术上提供面向未来的可能性，能力上面向用户定制安全场景，围绕安全运营，持续提供可升级可扩展的安全服务。 从技术上来说，实现 X 的一种技术路线是基于组装式理念，从支撑平台到业务平台，实现货架式设计。在 XDR 技术中，组装式支撑平台像搭积木一样去构建平台能力，建立一个弹性、灵活和敏捷的数据平台，将各技术组件进行打包整合，实现数据技术与业务解耦、业务无感知的平台支撑，提供配置式大数据业务开发环境。组装式安全业务则可构建货架式安全应用，基于与业务解耦的支撑平台，建设可插拔和可扩展的安全业务，从而以网格化的方式提供各项安全服务，并聚合在统一的运营平台中，提供一站式安全服务。

泰合盘古平台 组装式平台的落地实践

泰合盘古平台是启明星辰集团推出的第四代平台底层架构，通过多领域、高强度的技术创新与项目实战打磨，以全新架构提供高性能、高可用、更灵活、更安全的全面业务支撑。

基于对安全生态和安全协同重要性的考虑，平台采用组装式应用程序（Composable Applications）架构技术，将基础架构、网络安全、数据安全、云安全、IT 应用等多领域的厂商紧密集成，借助安全数据中台、AI 智能分析、低代码可视化、SOAR 自动编排响应等技术，构建广泛的网络安全生态系统。

同时，平台遵循系统科学思想，通过面向网络安全互联互通协同防御的需求进行安全体系的分析与规划，基于深耕多年的海量项目对平台孵化的多维产品进行持续的实战打磨，构建科学、高适应和先进的平台技术体系。

启明星辰泰合盘古平台具备灵活、可扩展特性，以盘古为坚实基座，基于组装式应用程序框架技术、开箱即用的安全应用以及场景化的应用开发模式，形成响应快、高性能、可扩展、高灵活度、低成本以及具有弹性与韧性的产品解决方案，快速贴合用户实际业务，提升安全价值数字化交付的敏捷性。

为了更有力支撑大型客户安全需求的不断演进、减少平台更替导致的部署与维护成本，平台将不同的安全产品深度集成，通过编排协同以创建动态安全环境，从而最大限度提高随业务场景发展而持续发展和持续集成的安全业务扩展能力。通过提供智能构建体系，实现对新设施新要素和数字化新场景新业务的适配，基于业务牵引安全需求、安全需求牵引技术发展的方法论，形成快速、高效的安全支撑体系。

目前，启明星辰泰合盘古平台已经实现对 XDR 平台、安全运营、云安全管理、SaaS 安全服务、自动化安全编排等多种类安全能力的支撑，以网格化、组装式的方式服务于大量行业落地实践，坚持在实战中打磨各项能力，持续支撑我国数字化建设进程。