深信服XDR全称是可扩展的检测与响应平台,可以通过采集网络攻击路径当中网络侧、终端、服务器主机等等的数据生产安全事件,可以通过服务实现安全检测与响应。业内常用的态势感知在检测能力主要是通过网络流量采集来定位与发现威胁,但单一的数据来源就会造成非常多的告警(大量的误报、不是很精确),用户没时间做合理有效分析。简而言之,态势感知比起XDR而言,只分析了网络流量,并没有终端侧的输入或者终端侧仅仅由EDR分析出来的结果,因此就会产生大量告警、大量的误报问题。从市场方面来讲,因为组件和服务的丰富,不仅效果要好很多,XDR比态势感知等产品的总体价格上限也有所上涨。
除此之外,XDR检测识别的方式也有了变化,以前不论是防火墙,还是态势感知,实际上都是以特征库/规则库的匹配为主。XDR采用的主动检测方式,可以通过加入一些关键动作点,去检测动作点是否有出现攻击,以实时精准地收集与分析网络上发生的行为,复原整个攻击过程。整个策略其实就像零信任的。
XDR平台本身就是中心管理的平台,组件是可扩展的。组件涵盖了网络侧的采集器和终端侧的采集器,例如防火墙AF可以当作网络侧的探针接入XDR平台,网络流量组件探针SIP/NTA(退化的态势感知)、潜伏威胁探针STA、漏洞风险管理产品云镜,除了网络侧还有终端侧、主机侧的产品接入,例如EDR、CWPP等,这些网络侧、终端侧都能做响应,也能做联动,采集数据能够很细。
有了平台+组件之后,XDR还带了一个专家辅助研判服务,后台的专家会对XDR上报的事件做真实性的验证,验证安全事件的确存在,就打上一个标签。标签可以承诺100%准确,不会有误报和出错的情况发生,接着再再配上安全服务,例如MSS服务,或者MDR服务(即轻量版的MSS)。MDR/MSS是主要针对完全没有自己处置能力的客户,MDR可以来帮助他做威胁的处置。当然MDR服务对比MSS而言就少了一些,比如说资产梳理、资产管理、漏洞监测的服务。MDR的响应流程,就是从发现到生成工单派单,再到工程师协调处置,最后进行复核,一套完整的流程。
XDR售卖模型同时有SaaS版和本地版,产品定位适合所有客户,全面覆盖。针对中小客户提供SaaS XDR+组件+方案的组合,针对大客户提供本地化XDR的方案。总而言之,XDR也是一款非常全面的平台型产品。蓝讯作为深信服的代理,可以为用户提供深信服XDR产品,欢迎来电咨询,咨询电话:18028990096
18028990096
