防御与运营
XDR(扩展检测与响应)
定义
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
扩展检测与响应(XDR)将 EDR 模型从端点扩展到更多层面,接入并关联来自端点、网络、身份提供方、云工作负载、邮件与 SaaS 的数据。统一的检测引擎在不同向量之间关联指标,生成完整的事件(而非孤立告警);统一的响应面板让分析师可以在同一控制台中隔离主机、撤销令牌或封堵目标。XDR 可由单一厂商提供(如 Microsoft Defender XDR、Palo Alto Cortex XDR、SentinelOne Singularity),也可采用开放或混合方案,旨在降低告警疲劳、缩短 MTTR,并减轻独立 EDR、NDR 与邮件安全产品的集成负担。
示例
- Microsoft Defender XDR 将 Office 365 中的钓鱼点击与该用户笔记本上的 EDR 告警关联。
- Cortex XDR 将端点上的恶意 PowerShell 与网络传感器捕获的横向 SMB 流量关联起来。
相关术语
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
MDR(托管检测与响应)
由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
SOAR
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。