2024網(wǎng)絡(luò)基礎(chǔ)安全XDR擴(kuò)展檢測響應(yīng)平臺(tái)

網(wǎng)絡(luò)基礎(chǔ)安全XDR擴(kuò)展檢測響應(yīng)平臺(tái)PAGEPAGE100目錄序言 6第一章概述 9安全行業(yè)發(fā)展背景 9XDR的概念與構(gòu)成 11XDR的核心能力 12XDR的發(fā)展歷程及趨勢 13第二章前端感應(yīng)器能力 142.1終端檢測與響應(yīng) 14云工作負(fù)載防護(hù)平臺(tái) 23網(wǎng)絡(luò)威脅檢測與響應(yīng) 29安全網(wǎng)關(guān) 375郵件安全網(wǎng)關(guān) 39身份識(shí)別與訪問管理 42蜜罐與沙箱 44第三章后端能力 49威脅情報(bào) 49數(shù)據(jù)湖 52AI引擎分析 57高級威脅分析引擎 645無代碼自動(dòng)化編排劇本 66API中心 75CICD 82第四章生態(tài)現(xiàn)狀洞察 85數(shù)字化評價(jià)指標(biāo)與可視化 85XDR與態(tài)勢感知平臺(tái)的關(guān)系 95XDR與SIEM平臺(tái)的關(guān)系 98XDR生態(tài) 102XDR與MSS 104XDRaaS 107第五章實(shí)踐案例分享 1085.1大型企業(yè)XDR實(shí)踐案例分享 108第一章概述安全行業(yè)發(fā)展背景208040（礦等（APT等發(fā)展。2090ISS提出了防護(hù)、檢測和響應(yīng)的安全閉（PDR模型略等手段形成快速抵御威脅的能力。圖1-1PDR模型PDR模型中，“檢測”受限于當(dāng)時(shí)的技術(shù)發(fā)展水平，更多強(qiáng)調(diào)基于著各類高隱蔽性、高復(fù)雜度的新型威脅的環(huán)境。2014年，各大國際知名安全機(jī)構(gòu)紛紛發(fā)布新的安全理念模型，旨在幫助安全行業(yè)更積極地應(yīng)對新型威脅的挑戰(zhàn)。SANS提出的網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型著重NIST發(fā)布的（IPDRR）PDRarter圖1-2自適應(yīng)安全框架（ASA）3.0與信任評估影響極其深遠(yuǎn)，也推動(dòng)了諸多安全產(chǎn)品和相關(guān)技術(shù)的發(fā)展演進(jìn)。以下一代防火墻的技術(shù)發(fā)展為例，早期的下一代防火墻中雖然集成了各種2-7AI10年間，許多新的安全產(chǎn)品不斷涌現(xiàn)，例如安全態(tài)勢感知（SA）、終（SOAR）應(yīng)運(yùn)而生。XDR的概念與構(gòu)成GartnerXDR的定義，XDRSaaS的、特定于供應(yīng)商的安XDR端包含了終端檢測與響應(yīng)、云工作負(fù)載防護(hù)平臺(tái)、網(wǎng)絡(luò)威脅檢測與響應(yīng)、AI化編排劇本、API注冊與編排、持續(xù)集成和持續(xù)部署(CICD)等。XDR的核心能力作為一類技術(shù)路徑，XDRGartnerInnovationInsightforExtendedDetectionandResponseXDR10及情報(bào)的生產(chǎn)和共享。但XDR的定位出發(fā)，可以認(rèn)為有3種技術(shù)的重要性最為突出：全面的遙測數(shù)據(jù)采集XDR也是威脅關(guān)聯(lián)分析、精準(zhǔn)響應(yīng)與處置不可或缺的基礎(chǔ)。高級威脅狩獵XDRXDR必須提供基于攻擊技戰(zhàn)術(shù)的行為檢測能力——AI或者機(jī)器學(xué)習(xí)的方式，以多維檢測形成合力，方能應(yīng)對各種復(fù)雜場景下的攻擊威脅。自動(dòng)化響應(yīng)MTTR。XDR的發(fā)展歷程及趨勢XDR發(fā)展至今，主要經(jīng)過了以下四個(gè)階段。2014EDRGartner十大技術(shù)，區(qū)別御”。EDR作為終端安全產(chǎn)品，相對輕量、便捷。IDS特征庫往往會(huì)根據(jù)業(yè)務(wù)和資產(chǎn)情況進(jìn)IDSNDR業(yè)所面臨的安全風(fēng)險(xiǎn)逐步和自身所具備的安全資源和能力發(fā)展不足形成了巨大的落差。Gartner2016MDR（可管理的威脅檢測與響應(yīng)），MDR為安自身的能力和資源。MDR通過安全運(yùn)營，聯(lián)動(dòng)網(wǎng)絡(luò)中其他服務(wù)供應(yīng)商提供的不高了響應(yīng)速度。階段四，更高效的運(yùn)營和更精準(zhǔn)的檢測。2018GartnerEPPEDRUEBA（用戶行為分析）并列統(tǒng)稱為“檢測和響應(yīng)項(xiàng)目”。這一趨勢預(yù)示2020XDRGartner九大安Gartner的定義，XDR是指特定供應(yīng)商提供的威脅檢測和事件響應(yīng)是整合性的產(chǎn)品組合和并具有更精準(zhǔn)的檢測能力。XDR將持續(xù)發(fā)展，我們預(yù)計(jì)有以下趨勢：其一、擴(kuò)大安全監(jiān)測和響應(yīng)的范圍。XDRXDR項(xiàng)目來推動(dòng)不同安全產(chǎn)品、安全廠家之間存在的互相聯(lián)動(dòng)等問題。將融合廣泛的安全能力和新型的信息化XDR的未來需要各個(gè)安全廠家和機(jī)構(gòu)的共同參與和努力。第二章前端感應(yīng)器能力2.1終端檢測與響應(yīng)EDR的概念隨著威脅攻擊的專業(yè)化，APT等定向高級別攻擊案例也越來越多，APT攻擊APT結(jié)合的攻擊APT傳統(tǒng)的終端安全解決方案EPP是基于已知風(fēng)險(xiǎn)產(chǎn)出的文件特征庫和規(guī)則庫，無法用于檢測未知風(fēng)險(xiǎn)。不同于傳統(tǒng)的簽名檢測或啟發(fā)式技術(shù)，EDR通過觀察攻擊行為將檢測技術(shù)提升到新的層次，能真正解決終端安全所面臨的APT、0day的終端安全解決方案。EDREDRSaaS化和智能化四個(gè)等EDR場景，終端能夠?qū)⑹占降腅DRSaaS服務(wù)的模式提供安全大數(shù)據(jù)EDR核心價(jià)值EDR的核心價(jià)值在于：1、快速偵測與自動(dòng)化響應(yīng)EDR的基礎(chǔ)。對于安全運(yùn)營EDR帶來的最核心的價(jià)值。而自動(dòng)化響應(yīng)能力則會(huì)進(jìn)一步加快針對威脅的處置的速度，降低安全隱患。2、主動(dòng)檢測未知威脅傳統(tǒng)意義上的終端防護(hù)是通過將攻擊模式與已知威脅的特征庫進(jìn)行比對從而發(fā)現(xiàn)安全威脅；因此幾乎不具備對于未知威脅和潛在的APT攻擊的抵御能力。EDR對于終端進(jìn)行了更全面的數(shù)據(jù)采集，進(jìn)一步加強(qiáng)了可見性。通過對這些數(shù)據(jù)的的關(guān)聯(lián)分析，EDR具備了一定的預(yù)判能力，從而能夠主動(dòng)發(fā)現(xiàn)未知的安全威脅甚至應(yīng)對APT攻擊。因此市場上的EDR解決方案通常也都具有威脅情報(bào)、機(jī)器學(xué)習(xí)以及更高級的文件分析能力。云化的EDR則擁有了更廣闊的視野和更強(qiáng)大的頭腦，對未知威脅的偵測能力也就更加強(qiáng)大。3、簡化管理EDR編排劇本IT運(yùn)維和安全管理都提供了便利。XDRXDR解決方案中，EDREDRXDRXDRXDR面梳理，以及風(fēng)險(xiǎn)管理。EDR核心能力1、數(shù)據(jù)采集EDRSaaSEDR管在云端。EDREDR矩陣的技戰(zhàn)術(shù)是數(shù)據(jù)采集標(biāo)準(zhǔn)的重要參考。EDRXDR解決方案下要求數(shù)據(jù)格式“統(tǒng)一”，XDR整體解決方案提出了挑戰(zhàn)。企業(yè)在EDREDR產(chǎn)品能夠和多個(gè)不同安全廠商進(jìn)行數(shù)據(jù)對接，同時(shí)輸出的數(shù)據(jù)也應(yīng)不同部署形態(tài)對數(shù)據(jù)采集能力上也略有差異。本地化部署的XDR平臺(tái)相對SaaS-EDR來說，前者對數(shù)據(jù)傳輸帶寬小，傳輸安全性相對較低，后者則相反。2、入侵檢測EDR的入侵檢測能力，旨在根據(jù)動(dòng)態(tài)行為進(jìn)行異常登錄檢測、口令暴力破解、擊及新型未知攻擊的持續(xù)檢測。眾所周知（全稱AdversarialandCommonKnowledge情報(bào)分析、威脅狩獵、.書中所述“知己知彼,百戰(zhàn)不殆已成為安全業(yè)界通用語言，其框架已成為安全業(yè)界標(biāo)準(zhǔn)。圖11IP、域名、哈希和靜態(tài)特征碼等低級威脅指標(biāo)(IOC，IndicatorofCompromise)的認(rèn)知，讓安全業(yè)界從行為視角來看待攻擊者和防御措施，即攻擊指標(biāo)(IOA，IndicatorofAttack)，旨在描述攻擊者所使用的攻擊戰(zhàn)術(shù)、技術(shù)和過程(TTP，TacticsandProcedures)的方法。企業(yè)ATT&CK(v10)1414種戰(zhàn)術(shù)指導(dǎo)思想(v9開始增加)TTPEDR使用高級分析和機(jī)器學(xué)習(xí)算法，在已知威脅或可疑活動(dòng)發(fā)生之前實(shí)時(shí)識(shí)別指示這些活動(dòng)的模式。一般來講，EDR會(huì)查找兩種類型的跡象：感染跡象(IOC)（即與潛在攻擊或違規(guī)行為一致的操作或事件）以及攻擊跡象(IOA)（即與已知網(wǎng)絡(luò)威脅或網(wǎng)絡(luò)犯罪分子相關(guān)的行動(dòng)或事件）。為了識(shí)別這些跡象，EDR會(huì)將自己的終端數(shù)據(jù)與來自威脅情報(bào)服務(wù)的數(shù)據(jù)實(shí)時(shí)關(guān)聯(lián)，而威脅情報(bào)服務(wù)會(huì)提供關(guān)于最新網(wǎng)絡(luò)威脅的持續(xù)更新信息-它們使用的策略、它們利用的終端或IT基礎(chǔ)架構(gòu)漏洞等等。威脅情報(bào)服務(wù)可以是專由EDR提供商運(yùn)營Mitre。EDR分析和算法還可以自行執(zhí)行偵查，將實(shí)時(shí)數(shù)據(jù)與歷史數(shù)據(jù)和已建立的安全事件或威脅的內(nèi)容。這些算法還可以將"信號"或合法威脅與誤報(bào)的"噪音"區(qū)分開來，以便安全分析師可以專注于重要的事件。EDRXDRXDR在終端上的威脅檢測能力不全問題，為后續(xù)的事件分析、溯源取證提供分析線頭等。3、脆弱性檢測在信息安全技術(shù)《信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T20984-2018標(biāo)準(zhǔn)》中對于脆EDREDR擊。EDRXDR資產(chǎn)風(fēng)險(xiǎn)管理提供數(shù)據(jù)支持。4、威脅響應(yīng)EDREDR結(jié)合，更好脅在網(wǎng)絡(luò)中擴(kuò)散到主機(jī)最為關(guān)鍵。的端點(diǎn)上，也更利于企業(yè)在事后進(jìn)行追蹤溯源。EDR的分析能力與策略配置能力也提出了一定的要求。EDR通過自動(dòng)化技術(shù)引入"響應(yīng)"機(jī)制（實(shí)際上是"快速響應(yīng)"）。根據(jù)安全或機(jī)器學(xué)習(xí)算法隨時(shí)間推移"學(xué)習(xí)"的規(guī)則方案可以自動(dòng)提醒安全分析人員注意特定威脅或可疑活動(dòng)根據(jù)嚴(yán)重性對警報(bào)進(jìn)行分類或劃分優(yōu)先級生成"追溯"報(bào)告，以跟蹤事件或威脅在網(wǎng)絡(luò)上的完整軌跡，一直追溯到其根本原因斷開終端設(shè)備的連接，或從網(wǎng)絡(luò)注銷最終用戶停止系統(tǒng)或終端進(jìn)程阻止端點(diǎn)執(zhí)行惡意/可疑文件或電子郵件附件觸發(fā)防病毒軟件或反惡意軟件，以掃描網(wǎng)絡(luò)上的其他終端來查找相同的威脅EDRSOAR（安全編排與自動(dòng)化響應(yīng)地響應(yīng)事件和威脅，最大限度地減小它們對網(wǎng)絡(luò)造成的損害。EDR的響應(yīng)能力對于XDR來說非常重要，XDR通過調(diào)用EDR提供的響應(yīng)能力實(shí)現(xiàn)快速的進(jìn)程查殺、文件隔離、IP封禁等處置動(dòng)作。5、威脅狩獵威脅狩獵者可以使用各種策略和方法，其中大多數(shù)策略和方法都依賴于EDR或者搜索用于描述特定攻擊者方法的MITRE數(shù)據(jù)。EDR可通過I進(jìn)行其他調(diào)查。專用于威脅狩獵的EDR工具包括從簡單腳本語言（用于自動(dòng)執(zhí)行常見任務(wù)）到自然語言查詢工具的所有工具。EDRXDRXDR支持和能力支持。EDR應(yīng)用場景1、安全風(fēng)險(xiǎn)態(tài)勢管理場景行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)趨勢分析。2是其中不可或缺的重要組件。EDR3、虛擬化、云場景下的安全防護(hù)場景EDREDR示，可以實(shí)現(xiàn)云主機(jī)流量的可視化，阻斷非法訪問、隔離失陷云主機(jī)。4、工業(yè)互聯(lián)網(wǎng)安全防護(hù)場景5、車聯(lián)網(wǎng)安全防護(hù)場景風(fēng)險(xiǎn)預(yù)警及安全風(fēng)險(xiǎn)的及時(shí)響應(yīng)，實(shí)現(xiàn)對車聯(lián)網(wǎng)終端的安全管控。云工作負(fù)載防護(hù)平臺(tái)CWPP定義云工作負(fù)載保護(hù)平臺(tái)（CloudWorkloadProtectionPlatform）CWPP，其Gartner2016CWPP部署模式CWPP產(chǎn)品一般采用“輕量級探針+統(tǒng)一安全中心+Web控制臺(tái)”的架構(gòu)，為用戶提供事前風(fēng)險(xiǎn)發(fā)現(xiàn)、事中入侵檢測、事后追蹤溯源的能力。Webshellshell，異常進(jìn)程以及病毒木馬等入侵行為；Web控制臺(tái)：以可視化的管理界面和用戶進(jìn)行交互，通過數(shù)據(jù)分析以及圖形化展示等方式為用戶提供實(shí)時(shí)的風(fēng)險(xiǎn)態(tài)勢以及集中管理的能力。適用場景CWPP戶提供針對服務(wù)側(cè)各種工作負(fù)載全生命周期的防護(hù)以及安全管理能力。CWPP與XDR的對接XDRXDR需要從數(shù)據(jù)采集、檢測與響應(yīng)方面保持一致性，主要包含如下三個(gè)方面。采集：CWPP采集工作負(fù)載側(cè)的主機(jī)信息、日志以及威脅等信息，上報(bào)到XDR平臺(tái)的統(tǒng)一安全分析中心。檢測：XDR后端平臺(tái)組件進(jìn)行內(nèi)部（資產(chǎn)、漏洞等）、外部（流量、日志）等多源安全告警進(jìn)行關(guān)聯(lián)分析、規(guī)則分析以及情報(bào)分析，發(fā)現(xiàn)潛在的威脅。響應(yīng)：XDRCWPP時(shí)下發(fā)通知告警，并在必要時(shí)自動(dòng)下發(fā)阻斷策略，及時(shí)完成安全閉環(huán)。風(fēng)險(xiǎn)感知能力CWPPGartnerCWPP能力金字塔（2-X所示）來看，從最基礎(chǔ)的加固、配CWPP的風(fēng)險(xiǎn)感知能力。圖2-2CWPP能力金字塔CWPP基于漏洞的攻擊數(shù)量一直居高不下，而最常見的最嚴(yán)重的漏洞就是系統(tǒng)漏洞和需要支持基于資產(chǎn)掃描和在第一層的“加固、配置和漏洞管理”階段，漏洞修復(fù)主要是針對NDay漏0Day0Day漏洞從利用方式CWPP可以通過內(nèi)存防護(hù)Webshell等基于文件監(jiān)測無法識(shí)別的新型攻擊手段。對抗應(yīng)用漏洞的思路是應(yīng)用運(yùn)行時(shí)自我保護(hù)技術(shù)（RASP）。RASP是從應(yīng)用內(nèi)部對關(guān)鍵函數(shù)操作的數(shù)據(jù)RASP能減少大量的誤報(bào)和漏報(bào)問題?；诖颂匦?，RASP還能為安全人員和開發(fā)人員提供更為詳盡的攻Payload0Day漏洞的利用。CWPP能夠通過主動(dòng)資產(chǎn)掃描對主機(jī)上資產(chǎn)、脆弱性進(jìn)行持續(xù)掃描和評估，威脅檢測能力CWPPXDR及應(yīng)用，CWPP既可以在本地完成威脅檢測與響應(yīng)，也可以與XDR配合，通過XDRCWPP本地做出響應(yīng)。shellAPT務(wù)端威脅檢測變得越來越重要且充滿挑戰(zhàn)。為了應(yīng)對這些安全挑戰(zhàn)，作為與XDR配合的CWPP在威脅檢測方面需要具備以下關(guān)鍵能力。shell、應(yīng)用后門、內(nèi)存安全等檢測等，同樣這些檢測要能覆蓋物理機(jī)、虛機(jī)、容器等各種工作負(fù)載。APT檢測能力。技術(shù)的不斷演進(jìn)，導(dǎo)致攻防雙方都受益，0Day及這幾年泛濫的各種APTXDR幫助用戶從被動(dòng)防御轉(zhuǎn)化為主動(dòng)防御。術(shù)進(jìn)行比較和驗(yàn)證，進(jìn)一步提升威脅檢測的準(zhǔn)確率，降低誤報(bào)率。事件響應(yīng)能力達(dá)到安全組織中。事件響應(yīng)在組織安全運(yùn)營中往往體現(xiàn)為系統(tǒng)性的流程，包括"-識(shí)別-遏制-根除-恢復(fù)-重建"等過程。圖2-3事件響應(yīng)流程事件全流程處理性，告警事件的節(jié)點(diǎn)狀態(tài)同時(shí)被存儲(chǔ)，以支持后期事件回溯。安全劇本編排可編程接口（API）和人工檢查點(diǎn)，按照一定的邏輯關(guān)系組合到一起，用以完成（Playbook）XDR平臺(tái)還提供一套XDR本身，而隱藏了具體的編程接口及其指令實(shí)現(xiàn)。聯(lián)動(dòng)響應(yīng)這種方式通過與CWPP聯(lián)動(dòng)，對應(yīng)不同告警事件調(diào)用不同的預(yù)置處置流程，給CWPP下發(fā)處理動(dòng)作完成對告警事件的處置，提升業(yè)務(wù)系統(tǒng)的安全系數(shù)，及響應(yīng)處置的速度與準(zhǔn)確性。XDRCWPPIPCWPPXDR在事件響應(yīng)上的配合，實(shí)現(xiàn)服務(wù)端威脅檢測與響應(yīng)的閉環(huán)。網(wǎng)絡(luò)威脅檢測與響應(yīng)NDR的概念NDR（NetworkDetectionandResponse）網(wǎng)絡(luò)威脅檢測與響應(yīng)，是一種基于?且能對原始??絡(luò)流量??為模型作為?絡(luò)風(fēng)險(xiǎn)?人工智能、威脅情報(bào)等）關(guān)聯(lián)分析，進(jìn)?精細(xì)化溯源定位。不僅僅是檢測威脅，還可以通過本地控制實(shí)時(shí)響應(yīng)威脅，或者支持與其他網(wǎng)絡(luò)安全工具或解決方案（如安全編排、自動(dòng)化和響應(yīng)(SOAR)）的廣泛集成。NDR與EDR的不同之處在于它不使用代理來深入了解惡意活動(dòng)，而是依賴網(wǎng)絡(luò)或虛擬分路器來分析本地和云工作負(fù)載之間的流量。NDR的價(jià)值體現(xiàn)NDRXDR體系中針對網(wǎng)絡(luò)流量采集監(jiān)控、應(yīng)急處置的前端執(zhí)行單元，負(fù)XDR后端點(diǎn)：南北向、東西向的全方向流量采集、監(jiān)控集中式、基于硬件的高性能采集隱式的旁路監(jiān)控，攻擊者無法感知是否被監(jiān)控，痕跡真實(shí)性有保障NDR（橫向流量）XDR后端強(qiáng)大的平臺(tái)能力支撐下，能夠在流量進(jìn)入網(wǎng)絡(luò)的第一常事件，并在XDR后端平臺(tái)的協(xié)同下，通過手動(dòng)或自動(dòng)的方式進(jìn)行及時(shí)有效的威脅處置。NDR核心能力流量檢測XDRXDR的能力體系中扮演著網(wǎng)絡(luò)安全維度上的一個(gè)重要角色。網(wǎng)絡(luò)威大，要想快速檢測和響應(yīng)威脅事件，亟需推進(jìn)下一代入侵檢測技術(shù)的發(fā)展。-響應(yīng)常情況過多，則有很大幾率屬于異常行為。熱點(diǎn)，其在網(wǎng)絡(luò)異常行為檢測上的應(yīng)用研究也吸引了人們的目光。基于對網(wǎng)絡(luò)流量監(jiān)控、檢測、分析，網(wǎng)絡(luò)威脅檢測與響應(yīng)技術(shù)具備了實(shí)時(shí)、因此，NDRXDRXDR系統(tǒng)在現(xiàn)網(wǎng)的網(wǎng)絡(luò)流量分析應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)。文件檢測人工智能技術(shù)的檢測四類，各檢測方式描述如下：持內(nèi)置多個(gè)反病毒引擎，多個(gè)反病毒引擎交叉檢測，可檢測包括Shellcode、Webshell動(dòng)態(tài)沙箱檢測是一種通過文件的動(dòng)態(tài)執(zhí)行行為來識(shí)別惡意文件的檢測技術(shù)，API調(diào)用等，并對這些影響進(jìn)行評估，識(shí)別對系統(tǒng)產(chǎn)生破壞的惡意文件；動(dòng)態(tài)沙Windows、AndroidLinux等類型沙箱，支持對沙箱內(nèi)樣本APT等未知網(wǎng)絡(luò)攻擊。NDR系統(tǒng)或單獨(dú)部署，形成情報(bào)中心，并將從流量中提取出的域名、IP、URLJA3、JA3SSSL惡意加密指紋檢測，輔助各行業(yè)安全運(yùn)營人員進(jìn)行運(yùn)營決策?；谌斯ぶ悄軝z測技術(shù)，結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（加殼且具有快速、準(zhǔn)確率高、誤報(bào)率低、跨平臺(tái)檢測等特點(diǎn)。關(guān)聯(lián)分析XDR系統(tǒng)中，來自流量分析的安全事件與日俱增，網(wǎng)絡(luò)攻擊事件的迅猛XDR在企業(yè)應(yīng)用中能夠精準(zhǔn)捕獲礎(chǔ)。主要的關(guān)聯(lián)分析技術(shù)有如下幾類。1、基于相似性關(guān)聯(lián)件集進(jìn)行整合和歸并。IPIP一定時(shí)間窗口范圍內(nèi)對網(wǎng)絡(luò)事件進(jìn)行聚合。相似性度量策略同樣決定了關(guān)聯(lián)分夾角余弦等。此類方法需要專家知識(shí)對屬性和度量策略進(jìn)行選擇。2、基于因果性關(guān)聯(lián)事件實(shí)例按攻擊順序整合到一起，形成超類事件。1階馬爾可夫鏈。3、基于場景化關(guān)聯(lián)基于場景化關(guān)聯(lián)分析主要是先根據(jù)領(lǐng)域知識(shí)定義好一些特定的攻擊場景，然種技術(shù)要求較豐富的安全領(lǐng)域經(jīng)驗(yàn)。IPIP據(jù)事件整合成一個(gè)更高層次的場景化事件。4、基于多源數(shù)據(jù)關(guān)聯(lián)有無”，得到更完整的安全面貌。分析技術(shù)，完成基于多源數(shù)據(jù)的關(guān)聯(lián)分析任務(wù)，得到更為全面的分析結(jié)果。溯源取證施中提供強(qiáng)有力的幫助。在網(wǎng)絡(luò)威脅檢測與響應(yīng)系統(tǒng)中，探針鏡像到系統(tǒng)的原始流量數(shù)據(jù)應(yīng)當(dāng)被完整地保存下來，可使用pcap包的形式。威脅檢測模塊對流量數(shù)據(jù)進(jìn)行各類網(wǎng)絡(luò)事件的分析，得到異常事件結(jié)果。基于此，進(jìn)行異常事件的溯源取證工作。從一個(gè)異常事件出發(fā)，選擇合適的網(wǎng)絡(luò)事件屬性，例如五元組，包括源IP、目的IP、源端口、目的端口、協(xié)議類型，到原始網(wǎng)絡(luò)流量pcap包中匹配出相應(yīng)數(shù)據(jù)，同時(shí)利用時(shí)間戳定位到具體的流量位置，將檢索到的流量數(shù)據(jù)保存下來，則可以獲得異常事件的回溯信息?；厮萘髁繑?shù)據(jù)記錄了攻擊者確切的攻擊行為、攻擊行為網(wǎng)絡(luò)數(shù)據(jù)包的原始信息，成為證明異常事件發(fā)生的重要證據(jù)。NDR/XDR中，實(shí)現(xiàn)一定程度上的自動(dòng)化溯源取證能XDR在社會(huì)與司法上的一個(gè)重要貢獻(xiàn)。NDR的應(yīng)用場景現(xiàn)網(wǎng)中，NDR通常應(yīng)用于云上及云下兩種場景。公有云環(huán)境AgentNDR探針上，以達(dá)到網(wǎng)絡(luò)威脅的NDR探針上，進(jìn)行威脅檢測與響應(yīng)。圖2-4云環(huán)境部署示意圖本地?cái)?shù)據(jù)中心本地?cái)?shù)據(jù)中心部署為通用部署方式，方式是通過鏡像、分光或分流的方式，將南北向進(jìn)出口流量或東西向橫向流量復(fù)制給NDR探針，以對網(wǎng)絡(luò)流量里存在的威脅提供檢測及應(yīng)急響應(yīng)服務(wù)。圖2-5本地環(huán)境部署示意圖安全網(wǎng)關(guān)安全網(wǎng)關(guān)的定義基線與組織、行業(yè)數(shù)據(jù)安全監(jiān)管的合規(guī)性遵從。URL信譽(yù)評分技術(shù)，用于根據(jù)指定的URL訪問。安全網(wǎng)關(guān)的核心價(jià)值互聯(lián)網(wǎng)訪問過濾，避免外部風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)；阻止通過互聯(lián)網(wǎng)外發(fā)機(jī)密數(shù)據(jù)造成企業(yè)的損失；提高內(nèi)網(wǎng)性能，降低網(wǎng)絡(luò)擁塞帶來的業(yè)務(wù)質(zhì)量低下，保證業(yè)務(wù)連續(xù)性并節(jié)省IT投資。一、防病毒能力HTTP/HTTPSFTPSMTPPOP3等協(xié)議流量毒的客戶端和服務(wù)器對外擴(kuò)散病毒。安全網(wǎng)關(guān)作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)惡意代碼，以查看其行為。如果檢測到惡意軟件，則網(wǎng)關(guān)將阻止它。二、Internet應(yīng)用控制和帶寬管理處理能力Internet應(yīng)用控制和帶寬管理，通常是通過對應(yīng)用數(shù)據(jù)包進(jìn)行分析，通過識(shí)4-7層的應(yīng)用管控。Internet上的許多網(wǎng)絡(luò)流量都HTTPSHTTPS流量，以便掃描流量中Internet不恰當(dāng)?shù)膽?yīng)用占用大量帶寬。三、URL過濾處理能力URL過濾的實(shí)現(xiàn)機(jī)制是將客戶端請求的URL與網(wǎng)關(guān)中的URL配，從而達(dá)到過濾控制的目的。httpheaderURLhttp請求的內(nèi)容進(jìn)行掃描。內(nèi)容過濾可以阻止惡意信IT濾策略。URL過濾也可以起到一定的數(shù)據(jù)防泄露的功能。5郵件安全網(wǎng)關(guān)郵件安全網(wǎng)關(guān)的定義APT(高級持續(xù)性攻擊)組織來說，郵件攻擊是其最為常用的攻擊手段。APT病毒、木馬、蠕蟲、URL釣魚等郵件攻擊，為郵件服務(wù)提供全方位的安全保障。郵件安全網(wǎng)關(guān)的核心價(jià)值隨著郵件業(yè)務(wù)規(guī)模的不斷增長，對電子郵件系統(tǒng)的安全防護(hù)需求日益迫切。如何有效的防堵各類垃圾郵件，保護(hù)用戶免受病毒木馬及釣魚郵件的戕害，是很多客戶目前最需要迫切解決的問題。當(dāng)遭遇垃圾郵件、病毒郵件、釣魚郵件、或DDos時(shí)，做不到及時(shí)防御，可能會(huì)導(dǎo)致郵件服務(wù)不堪重負(fù)而崩潰，嚴(yán)重的話會(huì)對整個(gè)公司的業(yè)務(wù)發(fā)展造成毀滅性打擊。通過部署郵件安全網(wǎng)關(guān)，可以幫助用戶解決如下問題：的負(fù)擔(dān)；可以斬?cái)嗖《镜泥]件入侵渠道，反勒索，反釣魚，保障內(nèi)外安全；可以避免郵件賬戶被盜用，用來發(fā)送垃圾郵件和惡意郵件，危害用戶信譽(yù)；可以最大限度的減少垃圾郵件的干擾，提高郵件服務(wù)滿意度；可以避免重要信息通過郵件違規(guī)外泄，避免潛在的合規(guī)風(fēng)險(xiǎn)；可以提高郵件應(yīng)用效率，提高郵件傳遞速度。郵件安全網(wǎng)關(guān)的關(guān)鍵能力垃圾和廣告郵件檢測作為現(xiàn)在主流的郵件安全解決方案，郵件安全網(wǎng)管可以利用實(shí)時(shí)地址黑名單（RBL）、域名黑名單（DBL）、DNS黑名單（DNSBL）、URI黑名單（URIBL）、（SPF）（DKIM）弱口令、帳號爆破等針對郵件帳號的攻擊檢測APT對抗郵件安全網(wǎng)關(guān)可對郵件登錄會(huì)話和內(nèi)容信息進(jìn)行分析，實(shí)現(xiàn)對相關(guān)帳號的登錄和異地登錄等行為。識(shí)別精心偽裝的魚叉式釣魚郵件識(shí)別通過郵件的敏感數(shù)據(jù)泄漏身份識(shí)別與訪問管理什么是身份識(shí)別與訪問管理API等實(shí)體都需要建立對應(yīng)的身份，以支持Subject）對何物（客體，Object）執(zhí)行何種操作（訪問操作，Action）的一種方技術(shù)應(yīng)具備最小權(quán)限原則（ThePrincipleofLeastPrivilege）和完全仲裁原則（CompleteMediation）。最小權(quán)限原則是安全的基本原則之一，其核心思想是過。IAMGartner中的定義為：Identityandaccessmanagement(IAM)isthedisciplinethatenablestherightindividualstoaccesstherightresourcesattherighttimesfortherightreasonIAM是一個(gè)可有效控制人或物等不同類型用戶訪問的能力要求原來越高。IAM通過統(tǒng)一的身份管理、認(rèn)證和授權(quán)能力，有效的連接了組織的各類信息系統(tǒng)，相對于傳統(tǒng)解決方案更加的安全與高效。IAM帶來的信息系統(tǒng)的高效連接、訪問安全性和有效性，使得XDR技術(shù)有能力以身份為核心進(jìn)行關(guān)聯(lián)分析，攻擊溯源等工作，為XDR向組織提供更精準(zhǔn)的檢測和更及時(shí)的響應(yīng)能力提供了重要支撐。權(quán)訪問管理戶，便有可能發(fā)起最終的攻擊并造成難以挽回的損失。于出于“運(yùn)維需要”被普通員工和第三方人員獲取。PrivilegedAccessManagement)使得特權(quán)賬戶的使用與所執(zhí)行的操作變得可見。在早期階段，特權(quán)訪問管理)只涉及（如具備使用跳板機(jī)或獨(dú)立終端軟件進(jìn)行會(huì)話錄制的能力）的能力更加豐富，具備了包括多因素身份驗(yàn)證、會(huì)話監(jiān)控、代理和用戶行為分析(UBA)同樣要求具備實(shí)現(xiàn)最小權(quán)限原則和完全仲裁原則的能力。通過會(huì)話監(jiān)裁的保證。擴(kuò)展檢測和響應(yīng)(XDR)XDR通過使用關(guān)鍵數(shù)據(jù)和遙測來擴(kuò)展所有關(guān)鍵資產(chǎn)的可見性，增強(qiáng)了完全仲裁的能力。而PAM通過對關(guān)鍵資源即時(shí)的最小訪問授權(quán)，以及對特權(quán)會(huì)話的監(jiān)視與特權(quán)賬戶事件的捕獲，進(jìn)一步豐富了XDR的遙測能力。身份威脅事件檢測與響應(yīng)DetectionandResponse,ITDR）技術(shù)變得重要。GartnerITDR技術(shù)的正式定義為：身份威脅檢測和響應(yīng)（ITDR）IAM為組織統(tǒng)一的潛在收益。越來越多的攻擊者將目標(biāo)對準(zhǔn)身份基礎(chǔ)設(shè)施本身。ITDR技術(shù)將為身份和訪問管理（IAM）部署增加額外的安全層。準(zhǔn)身份和訪問管理功能并長期潛伏，身份優(yōu)先安全變得更加緊迫。ITDR技術(shù)通ActiveDirectory的遷移鞏固了身份作為安全邊界的趨勢。ITDRXDR的關(guān)鍵組成部分。通XDR（別是攻擊早期的可以行為組織網(wǎng)絡(luò)。蜜罐與沙箱蜜罐/蜜網(wǎng)，安全沙箱等，引起了業(yè)界高度關(guān)注。蜜罐LanceSpitzner給出了一個(gè)比較權(quán)威的定義：蜜罐是一種安全資源，其價(jià)人和流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示著掃描、攻擊和攻陷。1998這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。1998于欺騙黑客的開源工具，如FredCohen所開發(fā)的DTK、NielsProvos開發(fā)的HoneydKFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。這一階統(tǒng)和網(wǎng)絡(luò)服務(wù)，并對黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。2000便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進(jìn)行分析。標(biāo)的誘騙技術(shù)。Honeypot系統(tǒng)，能夠分散黑客的注意力和精力，所以對真正的網(wǎng)絡(luò)資源起到保護(hù)作用。與特征提取等主要技術(shù):洞，引誘黑客的攻擊。括輸入、輸出及鍵盤和屏幕的捕獲。別的主機(jī)，因此必須控制進(jìn)出系統(tǒng)的數(shù)據(jù)流量而不被黑客懷疑。集到的所有信息進(jìn)行分析、綜合和關(guān)聯(lián)，完成對蜜罐攻擊信息的分析。補(bǔ)充。沙箱sandbox術(shù)源于軟件錯(cuò)誤隔離技術(shù)（softwarebasedfaultisolationSFISFI是一種利將不可信模塊與軟件系統(tǒng)隔離來保證軟件的魯棒性。企業(yè)和安全專家的青睞。沙箱介于操作系統(tǒng)的應(yīng)用層和內(nèi)核層之間。離功能。最早的應(yīng)用程序沙箱用于保證二進(jìn)制代碼的安全。內(nèi)核層沙箱駐留在內(nèi)核的地址空間中，可以方便地借助硬件級別的保護(hù)機(jī)制來實(shí)現(xiàn)安全隔離?；旌闲蜕诚涫墙Y(jié)合了應(yīng)用層和內(nèi)核層沙箱技術(shù)的沙箱系統(tǒng)。在該類沙箱中，內(nèi)核層提供了操作系統(tǒng)的隔離支持及相關(guān)的執(zhí)行機(jī)制，系統(tǒng)的剩余部分都在應(yīng)用層實(shí)現(xiàn)。APT行。則的沙箱主要采用重定向技術(shù)和惡意行為檢測技術(shù)。虛擬化技術(shù)是一種資源管理技術(shù)，可以將計(jì)算機(jī)的各種實(shí)體資源予以抽象、基于虛擬機(jī)完成目標(biāo)操作。測法。重定向技術(shù)是一種可以將各種訪問請求以及請求中的參數(shù)重新定位轉(zhuǎn)移到Hook數(shù)調(diào)用，它可以用于網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。展，沙箱技術(shù)本身還有很多地方需要改進(jìn)。能學(xué)習(xí)系統(tǒng)，自動(dòng)化地更新規(guī)則集合能夠改進(jìn)現(xiàn)有沙箱系統(tǒng)性能。針對性比較強(qiáng)，如APT重要方向。第三章后端能力威脅情報(bào)威脅情報(bào)的定義及來源GartnerITEDRNDRSIEM威脅情報(bào)數(shù)據(jù)，一般由文件哈希、域名、IPURL等幾個(gè)常規(guī)維度的APT威脅情報(bào)增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知和態(tài)勢評估。MITRE矩陣為代全局，感知全景方面的不足。XDR應(yīng)，真正實(shí)現(xiàn)跨系統(tǒng)、跨平臺(tái)、跨數(shù)據(jù)中心、跨地域的攻擊溯源能力。態(tài)勢評估場景在威脅感知階段的自動(dòng)化檢測分析結(jié)果和攻擊溯源階段的研息的可視化呈現(xiàn)。威脅情報(bào)賦能高級威脅識(shí)別APT價(jià)值。威脅情報(bào)加速安全事件應(yīng)急響應(yīng)在安全事件應(yīng)急響應(yīng)的過程中，綜合利用全網(wǎng)威脅情報(bào)結(jié)合威脅圖譜可加快事件響應(yīng)速度。首先，通過情報(bào)對碰，基于原始告警生成高置信度的有效告警；從安全基礎(chǔ)設(shè)施和處理能力的根本層面，實(shí)現(xiàn)降本增效。數(shù)據(jù)湖XDRXDR產(chǎn)品在后端，需要強(qiáng)大的安全大數(shù)據(jù)平臺(tái)支撐海量安全數(shù)據(jù)采集、存儲(chǔ)、分析、檢索和可視。數(shù)據(jù)湖的概念段：20MysqlOracleSQLServerPostgresSQLGB級）下的實(shí)時(shí)查詢分析。Hadoop一查詢和分析的需要。2004年前后，Google3篇論文：GFS分布式文件系統(tǒng)、MapReduce并行計(jì)算框架、ApacheHadoop據(jù)方案，風(fēng)靡全球。Spark/Flink/Storm為代表的實(shí)時(shí)流式計(jì)算系統(tǒng)。2010年之后，HadoopMapReduceSQLSparkFlink、Storm等。第四代：以數(shù)據(jù)湖/湖倉一體化為代表的新技術(shù)。隨著云原生技術(shù)的發(fā)展，（結(jié)構(gòu)化和非結(jié)構(gòu)化意規(guī)模數(shù)據(jù)（GB、TB、PB、EB等）存儲(chǔ)。支持?jǐn)?shù)據(jù)采集、處理、實(shí)時(shí)分析、、挖掘、和數(shù)據(jù)可視。數(shù)據(jù)倉庫與數(shù)據(jù)湖1988年，為解決企業(yè)的數(shù)據(jù)集成問題，IBM的兩位研究員創(chuàng)造性地提出了一個(gè)新的術(shù)語：數(shù)據(jù)倉庫（DataWarehouse）。1992年，“數(shù)據(jù)倉庫之父”比爾.（Hive、DeltaLake等），基于維度建圖3-1典型的數(shù)據(jù)倉庫架構(gòu)圖PentahoJamesDixon創(chuàng)造了“數(shù)據(jù)湖”（態(tài)下的水，數(shù)據(jù)流從源系統(tǒng)流向這個(gè)湖。blob或文件。數(shù)據(jù)湖通常是企業(yè)所有數(shù)據(jù)的單一存儲(chǔ)（結(jié)構(gòu)化處理），并運(yùn)行不同類型的分析–實(shí)時(shí)分析和機(jī)器學(xué)習(xí)，以指導(dǎo)做出更好的決策。數(shù)據(jù)湖可以支持任意類型的數(shù)據(jù)，包括:來自關(guān)系數(shù)據(jù)庫（行和列）的結(jié)構(gòu)化數(shù)據(jù)（CSV，日志，XML，JSON）非結(jié)構(gòu)化數(shù)據(jù)（電子郵件，文檔，PDF）二進(jìn)制數(shù)據(jù)（圖像，音頻，視頻）。數(shù)據(jù)湖需要提供足夠用的數(shù)據(jù)存儲(chǔ)能力，這個(gè)存儲(chǔ)保存了一個(gè)企業(yè)/組織中力（完善的元數(shù)據(jù)）schema的分析處理過程，能幫助用戶完整詳細(xì)追溯任意一條數(shù)據(jù)的產(chǎn)生過程。湖倉一體化在安全領(lǐng)域的應(yīng)用源，并且是原始數(shù)據(jù)。服務(wù)器日志，傳感器數(shù)據(jù)，社交網(wǎng)絡(luò)活動(dòng)，文架構(gòu)。的交互集成，支持企業(yè)級數(shù)據(jù)安全應(yīng)用，典型的湖倉一體化架構(gòu)如下：圖3-2典型的湖倉一體化架構(gòu)圖湖倉一體化大數(shù)據(jù)平臺(tái)是更加全面、高效、可靠和智能的大數(shù)據(jù)處理架構(gòu)。它支持更多的數(shù)據(jù)類型和計(jì)算任務(wù)，提供更高效的數(shù)據(jù)存儲(chǔ)和查詢能力。主要特性包括：任意數(shù)據(jù)類型的支持：來自關(guān)系數(shù)據(jù)庫（行和列）的結(jié)構(gòu)化數(shù)據(jù)（CSV，日志，XML，JSON）非結(jié)構(gòu)化數(shù)據(jù)（電子郵件，文檔，PDF）二進(jìn)制數(shù)據(jù)（圖像，音頻，視頻）。KBMBGBTBPBEB級數(shù)據(jù)規(guī)模。和分析任務(wù)的多樣性。IDC服務(wù)器、虛擬機(jī)、容器。存儲(chǔ)支持本地磁盤、對象存儲(chǔ)等。同應(yīng)用場景的高并發(fā)、高擴(kuò)展性等需求。成本。詢和分析。算和存儲(chǔ)資源。機(jī)器學(xué)習(xí)平臺(tái)支持智能分析計(jì)算和數(shù)據(jù)挖掘。據(jù)的安全性和可靠性。AI引擎分析網(wǎng)絡(luò)安全檢測現(xiàn)狀在新一代網(wǎng)絡(luò)安全威脅面前，傳統(tǒng)基于特征、簽名檢測技術(shù)的統(tǒng)一威脅管理/等安全產(chǎn)品并不能使組織安全得到充分保護(hù)，傳統(tǒng)的防毒墻、防火墻、IPS等安全設(shè)備已無法完全滿足企業(yè)的安全防護(hù)要求?；谔卣鳈z測和行為檢測的傳統(tǒng)威脅檢測手段已經(jīng)越來越難以應(yīng)對新型的全威脅檢測手段提出了更大挑戰(zhàn)。AI在網(wǎng)絡(luò)安全中的作用AI概述人工智能（ArtificialIntelligence，AI），它是研究、開發(fā)用于模擬、延伸和擴(kuò)展的智能的理論、方法、技術(shù)及應(yīng)用系統(tǒng)的一門新的技術(shù)科學(xué)。編程。其主要用于網(wǎng)絡(luò)安全，有兩個(gè)目的：異常檢測:機(jī)器學(xué)習(xí)可用于自動(dòng)檢測異常，例如異常的用戶行為或意外的網(wǎng)絡(luò)活動(dòng)，這些異常可能表明存在安全威脅。AI的作用IDSAPT等未知威脅。NDR暗網(wǎng)流量、翻墻代理、VPN、DNS/ICMP/HTTP隱蔽隧道、WEB攻擊等進(jìn)行檢測，ML/AI直接對攻發(fā)現(xiàn)、橫向移動(dòng)、數(shù)據(jù)收集、C2和滲漏。有效的AI驅(qū)動(dòng)的網(wǎng)絡(luò)檢測和響應(yīng)平AI衍生的檢測模型安全洞察力去豐富AI的優(yōu)勢自動(dòng)化：AI可以通過持續(xù)監(jiān)控和分析網(wǎng)絡(luò)流量來幫助自動(dòng)執(zhí)行信息安全的各個(gè)方面。減少人為錯(cuò)誤：AI可以通過每次都遵循相同流程的自動(dòng)化功能和算法來消除數(shù)據(jù)處理、分析和其他任務(wù)中的人為錯(cuò)誤。消除重復(fù)任務(wù)：AI可用于執(zhí)行重復(fù)任務(wù)，從而讓人力資源能夠空出手來解決影響較大的問題?？焖贉?zhǔn)確：與人類相比，AI可以更快地處理更多信息，從而查找模式并發(fā)現(xiàn)人類可能錯(cuò)過的數(shù)據(jù)關(guān)系。無限可用性：AI不受時(shí)段、休息需求或其他人類負(fù)擔(dān)的限制。在云端運(yùn)行時(shí)，AI和機(jī)器學(xué)習(xí)可以“始終開啟”，從而持續(xù)處理分配的任務(wù)。更快的研發(fā)速度：快速分析大量數(shù)據(jù)的能力可以加快獲得研發(fā)突破的速度。AI在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用文件基因圖譜檢測基于人工智能檢測技術(shù)，結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（加殼且具有快速、準(zhǔn)確率高、誤報(bào)率低、跨平臺(tái)檢測等特點(diǎn)。圖3-3惡意代碼變種1MD5值都識(shí)別。圖3-4基因圖譜檢測2種進(jìn)行檢測。惡意加密流量檢測TLS/SSLTLS傳統(tǒng)的檢測方式不能很有效的檢出加密數(shù)據(jù)是否為惡意流量。惡意加密流量類型識(shí)別方法。標(biāo)記、威脅情報(bào)標(biāo)記和進(jìn)訓(xùn)練數(shù)據(jù)收集，首先需要下載黑樣本。下載的樣本來源包括但不限于：stratosphereipslastlineCICIDSADFA-NB15-Datasetsnetresec樣本、VT1。圖3-5惡意加密流量采集流程AITLSDNS數(shù)據(jù)特征等。JA3/JA3SJARMAI算法建立檢測模型，實(shí)現(xiàn)對同類惡意加密流量在不解密情況下進(jìn)行有效的識(shí)別與檢測。MercuryIP訪IP關(guān)聯(lián)關(guān)系等行為分析方法AI模型檢測相結(jié)合提升整體檢測效果。隱蔽隧道檢測DNS隱蔽隧道DNSTunnelingDNS協(xié)議中傳輸建立通信。DNS隧道木馬帶來的威脅很大,DNS隧道木馬難以得到有效的監(jiān)控.DNS報(bào)文具有天然的穿透防火墻的能力;另一方面,目前的殺毒軟件、IDSDNS報(bào)文進(jìn)行有效的監(jiān)控管理.DNSDNS工具，它們可以使攻擊者DNSDNS的隱蔽隧道通信行為。DNS隧道和正常DNSDNS會(huì)話的DNSDNSDNS隱蔽隧道識(shí)別特征向量（DNS隧道空間、回應(yīng)包的長度、qname中數(shù)字字符占比等）DNSDNS隱蔽隧道檢測模型。在現(xiàn)網(wǎng)中使DNSDNS隱蔽隧道檢測。ICMP隱蔽隧道,嚴(yán)重威脅信息安全I(xiàn)CMP流量可以躲避防火墻等網(wǎng)絡(luò)設(shè)備的檢測,ICMP隧道技術(shù)采用ICMPICMP_ECHOICMP_ECHOREPLYICMP報(bào)文的pingICMPICMP協(xié)議進(jìn)行非法通信。ICMPICMPICMPICMPICMP量（pktlenMax、payload_n-gram-213、pktlenEnt等）ICMP隱蔽隧ICMPAIICMP隱蔽隧道通訊檢測。HTTP隱蔽隧道HTTP隧道多用于在受限網(wǎng)絡(luò)連接的條件下在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建網(wǎng)絡(luò)鏈IDSFirewallHTTP常常用于內(nèi)網(wǎng)里面的端口轉(zhuǎn)發(fā)與流量代理，HTTP通信流量往往與正常流量差異性不大，一般通過特征識(shí)別不容易被檢測出來，HTTP隧道多用于建立遠(yuǎn)程桌面sshHTTP隧道通訊進(jìn)行檢測。AIHTTPHTTPHTTPHTTP隧道流量分別HTTP隧道流量識(shí)別模型，在現(xiàn)網(wǎng)中，獲取HTTP隱蔽隧道特征，建立動(dòng)態(tài)自學(xué)習(xí)AI檢測模型，通過集成機(jī)器學(xué)習(xí)技術(shù)實(shí)現(xiàn)高準(zhǔn)確性和高召回率的隧道檢測模型可對HTTP隧道進(jìn)行有效檢測與分析。高級威脅分析引擎IT是現(xiàn)代安全運(yùn)營體系的核心評價(jià)指標(biāo)之一。高級威脅的特征及挑戰(zhàn)體設(shè)計(jì)規(guī)避方案提供了可趁之機(jī)。失陷指標(biāo)與攻擊指標(biāo)APT云端、移動(dòng)端、郵件、資產(chǎn)、瀏覽器、蜜罐等多個(gè)維度，深度挖掘情報(bào)大數(shù)據(jù)，早期，業(yè)界廣泛普及應(yīng)用的失陷指標(biāo)（IndicatorofCompromise，IoC），只IP地址和域名，很容易被威脅主體IoC本，或在C2制點(diǎn)。在傳統(tǒng)失陷指標(biāo)（IoC）的基礎(chǔ)上，有效融合多源擴(kuò)展安全數(shù)據(jù)，利用關(guān)聯(lián)決當(dāng)前以異構(gòu)安全技術(shù)棧為基礎(chǔ)構(gòu)建的安全防御體系中原生固有存在著的安全視野不連續(xù)的核心缺陷。高級威脅的檢測與識(shí)別在技術(shù)實(shí)現(xiàn)層面，XDR解決方案重點(diǎn)聚焦終端、流量，從內(nèi)存、磁盤、流督學(xué)習(xí)等人工智能技術(shù)，建立目標(biāo)系統(tǒng)的安全行為基線，高效識(shí)別高級威脅。高級威脅的調(diào)查與響應(yīng)XDRIPIP素及要素間的時(shí)序關(guān)系。優(yōu)先級和影響面，從而進(jìn)行響應(yīng)處置。5無代碼自動(dòng)化編排劇本SOAR技術(shù)簡介XDR解決方案中，SOAR（尤其是安全響應(yīng)問題。安全編排與自動(dòng)化技術(shù)安全編排與自動(dòng)化是SOAR的核心能力和基本能力，核心是劇本庫和應(yīng)用庫（動(dòng)作庫SOAR將不同的系統(tǒng)協(xié)同聯(lián)動(dòng)起來的目標(biāo)。安全編排自動(dòng)化安全編排(Orchestration)的過程就是將團(tuán)隊(duì)、流程、技術(shù)和工具等各種要素可編程接口（API）和人工檢查點(diǎn)，按照業(yè)務(wù)訴求編排成有序的執(zhí)行邏輯塊，創(chuàng)減少人的參與來降低人為錯(cuò)誤因素，以提升編排的工作效率。無論是自動(dòng)化的編排，還是人工的編排，都可以通過劇本(playbook)來進(jìn)行工作流的推進(jìn)，其劇本動(dòng)作也將有序執(zhí)行。WebShellDNS任務(wù)，方便管理人員維護(hù)劇本，降低安全配置工作。安全流程自動(dòng)化(Automation)API實(shí)現(xiàn)的，那么它就可以稱為是可以自動(dòng)化執(zhí)行的，的核心作用，必先梳理出組織自身的標(biāo)準(zhǔn)安全操作流程和規(guī)程。常見的安1所示：圖3-6安全業(yè)務(wù)流程自動(dòng)化實(shí)現(xiàn)不同的系統(tǒng)協(xié)同聯(lián)動(dòng)起來，利用技術(shù)去監(jiān)測數(shù)據(jù)資產(chǎn)以及信息資產(chǎn)中全分析、告警管理和案件管理等功能隨時(shí)調(diào)用?！皰靾D作戰(zhàn)”核心策略“掛圖作戰(zhàn)“行為力導(dǎo)圖”“攻擊路徑圖”“對抗指導(dǎo)圖”等圖形化方式作為核心策略。幫助防守方更直觀、全面響應(yīng)等動(dòng)作。關(guān)聯(lián)案例并補(bǔ)全到案例中。生成攻擊溯源圖確定事件從哪里開始、經(jīng)過哪些節(jié)點(diǎn)，最終導(dǎo)致問題的產(chǎn)生。每個(gè)實(shí)體都將展示識(shí)別異常EDRNDR觀地處理網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，更好的保護(hù)其重要資產(chǎn)。安全能力集成安全設(shè)施接口化是SOAR得以落地的重要前提條件，SOAR往往通過應(yīng)用(App)和動(dòng)作(Action)開發(fā)：包括應(yīng)用配置定義、應(yīng)用編碼實(shí)現(xiàn)、和應(yīng)用動(dòng)作結(jié)果渲染；調(diào)試：在測試環(huán)境中對開發(fā)好的應(yīng)用進(jìn)行調(diào)試；打包：按照應(yīng)用集成框架的開發(fā)要求，對開發(fā)調(diào)試完畢應(yīng)用進(jìn)行打包；導(dǎo)入：將應(yīng)用導(dǎo)入系統(tǒng)，并納入系統(tǒng)的應(yīng)用庫進(jìn)行統(tǒng)一管理。SOARXDR（通過與其它技術(shù)的集成XDR的一個(gè)新常態(tài)。威脅情報(bào)關(guān)聯(lián)分析3所示：圖3-7威脅情報(bào)中心情報(bào)中心?；诖髷?shù)據(jù)攻擊溯源分析管理攻擊溯源本質(zhì)上是在大量的正常數(shù)據(jù)中尋找出攻擊者在攻擊過程中留下的PersistentThreat，APT）攻擊者和內(nèi)部利益驅(qū)動(dòng)的員工威脅而提出的一種解決方APT來了新的可能。定位、惡意樣本分析、ID追蹤等技術(shù)溯源反制收集攻擊者信息；最后，通過對溯源。大數(shù)據(jù)技術(shù)可以收集大量的異構(gòu)數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行清洗，提煉出有價(jià)值的攻擊痕跡，再通過數(shù)據(jù)分析和模型關(guān)聯(lián)將這些信息串聯(lián)起來形成攻擊路徑，通過攻擊路徑的反溯找到攻擊入口、還原攻擊過程?；诖髷?shù)據(jù)攻擊溯源總體框架如圖4所示：圖3-8攻擊溯源總體框架數(shù)據(jù)集層數(shù)據(jù)是攻擊溯源的基礎(chǔ)，整個(gè)APT攻擊過程可能覆蓋系統(tǒng)漏洞發(fā)現(xiàn)，包括墻等網(wǎng)絡(luò)安全設(shè)備日志。②主機(jī)側(cè)數(shù)據(jù)集：包含業(yè)務(wù)訪問記錄、系統(tǒng)日志、系統(tǒng)進(jìn)程監(jiān)控?cái)?shù)據(jù)等。③輔助佐證數(shù)據(jù)集：收集威脅情報(bào)作為輔助佐證數(shù)據(jù)集。數(shù)據(jù)清洗分析層全景關(guān)聯(lián)溯源層完成單場景溯源模型的準(zhǔn)備后，再通過模型進(jìn)行全場景關(guān)聯(lián)溯源，模型由MITRE景圖。報(bào)告管理度量的需要。報(bào)告模板事件和任務(wù)關(guān)聯(lián)報(bào)告API中心背景介紹SOAR能很好地進(jìn)行響應(yīng)，存在大量重復(fù)開發(fā)工作。XDRAPIAPI的產(chǎn)品是一個(gè)停留在上一個(gè)時(shí)代的產(chǎn)品。API聯(lián)動(dòng)響應(yīng)類APIXDRIP聯(lián)動(dòng)防火墻進(jìn)行封堵攔截，將已失陷主機(jī)從內(nèi)網(wǎng)中隔離，向被等。樣本分析類有一些自動(dòng)化的分析需求。標(biāo)準(zhǔn)的，不同廠商的產(chǎn)品之間的接口必定是不兼容的。溯源取證類DNS請求記錄等。信息上報(bào)類EPP管理系統(tǒng)或者桌管類產(chǎn)品的接口打通后獲取。除了以上類型的API之外，一定還存在著我們目前想象不到的API類型。低，版本依賴程度高。API能力的提供者與使用者，提升聯(lián)動(dòng)效率，降低研發(fā)成本。API注冊與發(fā)布APIAPI能力的有序擴(kuò)展。APIAPI指定服務(wù)入口點(diǎn)URL形式：${SCHEME}://${DOMAIN-NAME}/${URI}SCHEME:在一般的業(yè)務(wù)系統(tǒng)中，往往采用http/https的方式來使用API.DOMAIN-NAME:在較大型企業(yè)內(nèi)部，會(huì)通過內(nèi)部DNS的方式來部署業(yè)務(wù)，但是大部分企業(yè)還是會(huì)直接使用IP來指定服務(wù)的訪問地址。URI:用來在系統(tǒng)內(nèi)唯一標(biāo)識(shí)API資源?；駻PI服務(wù)的內(nèi)部入口點(diǎn)和外部入口點(diǎn)是不同的。APIDNSDNS。但是如果是對外暴露IP是不能任意指定的。因此引來的一個(gè)問題是同一個(gè)服務(wù)入口是不能夠同時(shí)服務(wù)內(nèi)部和外部的。除此之外，我們還需要指定：APIAPI一個(gè)名稱。methodHTTPGETPOST請求類型：指定請求體的數(shù)據(jù)格式。響應(yīng)類型：指定響應(yīng)體的數(shù)據(jù)格式。請求類型與響應(yīng)類型需要根據(jù)實(shí)際情況進(jìn)行定義，比較常見的數(shù)據(jù)類型有json，xml。有一些特殊情況如上傳樣本，可選擇設(shè)置類型為二進(jìn)制。指定認(rèn)證方式與授權(quán)API資源的訪問需要經(jīng)過認(rèn)證后才能實(shí)施。一般來說，API服務(wù)可能需HTTPhttpsAPI業(yè)務(wù)調(diào)用請求。的需求。間。在提供對外訪問服務(wù)時(shí)，有可能會(huì)需要限定訪問客戶端的IP地址。指定后端服務(wù)APIAPIAPIhttp提供病毒掃描的服務(wù)，APIAPIEDREDR服務(wù)端，請求才會(huì)有結(jié)果。當(dāng)然，這種API內(nèi)部做好處理。方式需要可以單獨(dú)進(jìn)行設(shè)置。數(shù)據(jù)適配API要進(jìn)行以下一些調(diào)整：格式轉(zhuǎn)換，比如JSON轉(zhuǎn)XML在請求頭，請求行等請求部位中增加參數(shù)向請求體的結(jié)構(gòu)化數(shù)據(jù)中增加參數(shù)對參數(shù)進(jìn)行重命名處理。測試APIAPIAPI證服務(wù)構(gòu)建的正確性。API發(fā)布與下線APIAPIAPI。APIAPI服務(wù)。集成與應(yīng)用圖9如圖9所示，首先，在API的集成與應(yīng)用場景中，我們認(rèn)為有如下幾個(gè)角色：API服務(wù)提供者API服務(wù)使用方API管理發(fā)布平臺(tái)VPC中，相互直接從網(wǎng)絡(luò)層面是可以互通的。我們/通過平臺(tái)對外提供服務(wù)進(jìn)行訪問的調(diào)用者或者服務(wù)提供者，我們成為外部。在這個(gè)層面來講，API和重要的。拋開平臺(tái)以外，在常規(guī)業(yè)務(wù)場景中，API服務(wù)的提供者和使用者往往有以下情況：同時(shí)是服務(wù)提供者和使用者的平臺(tái)內(nèi)部服務(wù)ABAPIAPI。均衡等工作全部由相關(guān)產(chǎn)品的服務(wù)來提供，可以有多種方式，包括直接使用。API平臺(tái)發(fā)布的接口即可實(shí)現(xiàn)聯(lián)動(dòng)需求。平臺(tái)內(nèi)部使用者很多情況下，XDRSOARAPIAPIAPID即是此種。提供API能力的外部設(shè)備/系統(tǒng)APIAPI管理服務(wù)的能力，將該能力集成到平臺(tái)里。外部使用者很多中大型用戶的安全運(yùn)營往往會(huì)采用異構(gòu)方式進(jìn)行，通過購買不同廠商的產(chǎn)品來規(guī)避因?yàn)槟硰S商的問題導(dǎo)致整個(gè)企業(yè)出現(xiàn)風(fēng)險(xiǎn)。API管理系統(tǒng)作為各類安全能力集中的平臺(tái)，天然具備向第三方輸出安全能力的功能。小結(jié)APIXDRXDR平臺(tái)的關(guān)鍵指標(biāo)。CICD基礎(chǔ)安全CI（ContinuousIntegration）是在軟件開發(fā)期間自動(dòng)化和集成來自許多團(tuán)隊(duì)成員的代碼更改和更新的過程。在CI中，自動(dòng)化工具在集成之前確認(rèn)軟件代碼是有效且無錯(cuò)誤的，這有助于檢測錯(cuò)誤并加快新版本的發(fā)布。CDDevOps發(fā)生命周期。在基礎(chǔ)安全方面，至少要保障人、技術(shù)、流程方面的安全:人：要建立安全管理組織，建設(shè)組織級的安全文化，開發(fā)人員、測試人員、CICD安全運(yùn)維進(jìn)行安全風(fēng)險(xiǎn)控制。CICD過程中，實(shí)現(xiàn)自動(dòng)化的安全風(fēng)險(xiǎn)控制。流程：CICD的過程要可以重復(fù)，需要將需求開發(fā)、安全交付、安全運(yùn)營流可以通過撰寫發(fā)布制度、規(guī)則，實(shí)現(xiàn)流程化的安全風(fēng)險(xiǎn)控制。需求開發(fā)按CICD的過程，在需求開發(fā)階段包括需求、設(shè)計(jì)、開發(fā)三個(gè)階段。采取安全風(fēng)險(xiǎn)控制措施，從而控制開發(fā)過程的安全。確保應(yīng)用系統(tǒng)的安全。風(fēng)險(xiǎn)。安全交付署。關(guān)系、發(fā)布制品、配置等安全內(nèi)容。的安全風(fēng)險(xiǎn)，提升應(yīng)用的安全質(zhì)量。應(yīng)用，并保障此過程中的安全。同時(shí)，為安全運(yùn)營準(zhǔn)備相關(guān)的所有交付材料。安全運(yùn)營現(xiàn)安全運(yùn)營。別內(nèi)部和外部的安全事件和風(fēng)險(xiǎn)。CICDXDRXDR則強(qiáng)調(diào)的威脅檢測和快速的事件響應(yīng)。CICD和XDR在軟件開發(fā)和安全防御中有著千絲萬縷的聯(lián)系。首先，CICDXDRCICD的持續(xù)集成和持續(xù)交付特性，XDR分析攻擊路徑等，幫助安全團(tuán)隊(duì)制定有效的安全策略。其次，XDRCICD提供了安全保障。安全漏洞和惡意攻擊往往會(huì)導(dǎo)致生產(chǎn)XDR的威脅此外，CICDXDR還可以通過自動(dòng)化和標(biāo)準(zhǔn)化的方式實(shí)現(xiàn)更高效的軟件開發(fā)和安全防御。CICD可以通過自動(dòng)化測試和部署，提高開發(fā)團(tuán)隊(duì)的工作效率；XDR第四章生態(tài)現(xiàn)狀洞察數(shù)字化評價(jià)指標(biāo)與可視化XDR管理性指標(biāo)和評價(jià)XDR是以威脅檢測和響應(yīng)為中心的整合安全平臺(tái)解決方案，通過前端XDR數(shù)量較少且高質(zhì)量的告警。XDRAPIIOC，也能從一個(gè)通道檢測其他通道進(jìn)行響應(yīng)。XDR指標(biāo)體系需要結(jié)合組織業(yè)務(wù)安全目標(biāo)，明確關(guān)鍵性能指標(biāo)，并確定如何度量這些指標(biāo)。此外需建立量化指標(biāo)評價(jià)體系，以便實(shí)時(shí)可量化的觀測XDR視化等方面問題。XDR安全組件來分別進(jìn)行闡述。建立XDR指標(biāo)體系一般需要考慮到以下方面：XDR目標(biāo)應(yīng)該組織控制破壞或者勒索相關(guān)威脅。XDR是否達(dá)成目標(biāo)性能參數(shù)。報(bào)率可以通過確定被確定為安全事件但實(shí)際上是誤報(bào)的事件與所有檢測到的安全事件的比率來度量。量一次。的趨勢和表現(xiàn)。XDR作為整合安全平臺(tái)，首先建立管理類的評估指標(biāo)體系，綜合評價(jià)XDR果，并選擇最適合的安全組件：XDR夠更好地識(shí)別和防御攻擊，從而減少潛在的風(fēng)險(xiǎn)和損失。XDRNDR從而降低潛在損失。XDR脅和采取行動(dòng)。XDR多安全組件的統(tǒng)一平臺(tái)管理，通用管理工作流體驗(yàn)。XDR包括安全組件間實(shí)時(shí)共享威脅情報(bào)的能力。XDRXDR平臺(tái)提供與工作流平臺(tái)集成接口，提供集成響應(yīng)選項(xiàng)，來自所有安全組件的上下文信息并支持快速處置。XDR重要的衡量指標(biāo)，一般需要支持可靠的數(shù)據(jù)存儲(chǔ)功能，支持低成本存儲(chǔ)選項(xiàng)或混合存儲(chǔ)來降低長期存儲(chǔ)成本。EDR指標(biāo)和可視化端點(diǎn)檢測與響應(yīng)（EndpointDetection&Response，EDR）是一種新型的、智的安全防御能力。EDR的使用指標(biāo)根據(jù)行業(yè)、公司、以及安全管理人員的不同偏好，EDR可用在不同的地方，也會(huì)產(chǎn)生對應(yīng)的指標(biāo)。以下闡述常見的使用指標(biāo)部署率、覆蓋率部署率、覆蓋率指的是EDR產(chǎn)品在企業(yè)所管理的設(shè)備終端的安裝率、部署率等。這是最常見的指標(biāo)之一。部署率、覆蓋率有時(shí)也會(huì)延展到更深的層次，比如EDREDR版本，來解決兼容性、功能性等問題。EDREDR從而可以快速響應(yīng)資產(chǎn)收集相關(guān)EDREDR清單、賬號變更等衍生指標(biāo)系統(tǒng)加固類EDR（（（線等）、補(bǔ)丁修復(fù)（虛擬補(bǔ)丁、或修復(fù)建議等）。而加固手段有黑白名單（進(jìn)程、網(wǎng)絡(luò)、行為等）、虛擬補(bǔ)丁等。由此而展開的使用指標(biāo)有：風(fēng)險(xiǎn)賬號的數(shù)量、漏洞數(shù)量、危險(xiǎn)級別等、基線不合規(guī)律、補(bǔ)丁修復(fù)完成率等威脅檢測類能對內(nèi)外部的攻擊行為進(jìn)行主動(dòng)檢測，其中包含各種漏洞攻擊、跨站腳本、提權(quán)等異常行為。其中展開的指標(biāo)有：高危事件事項(xiàng)、已處理事件數(shù)量、誤報(bào)率、策略調(diào)整次數(shù)等響應(yīng)取證類分析的技術(shù)門檻，不需要依賴于外部專家即可完成快速響應(yīng)和取證分析。擴(kuò)展的相關(guān)指標(biāo)：自動(dòng)化修復(fù)率NDR指標(biāo)和可視化NDRXDR核心組件，通過全流量檢測分析和響應(yīng)處置的，對威脅進(jìn)行NDRNDR測到異常的流量模式時(shí)會(huì)發(fā)出異常警報(bào)。NDRNDRDFIDPI技術(shù)來分析NDRNDR力指標(biāo)和流量分析能力指標(biāo)：安全能力指標(biāo)包括：NDR能夠檢測到更多的威脅。這里可以具體細(xì)分到不同場景威脅檢測率：NDR能夠檢測到更多的網(wǎng)絡(luò)入侵攻擊事件。NDR能夠檢測到更多的惡意樣板。NDR能夠檢測到更多的未經(jīng)授權(quán)的數(shù)據(jù)訪問事件。NDR能夠檢測到更多的數(shù)據(jù)泄露事件NDR的報(bào)警更加準(zhǔn)確。平均檢測時(shí)間（MTTD）NDRNDR更加及時(shí)地檢測到威脅。平均響應(yīng)時(shí)間（MTTR）NDR檢測到威脅到響應(yīng)該威脅所需的平均NDR能夠更快地響應(yīng)威脅。NDR蠕蟲、木馬后門，APT，釣魚攻擊，挖礦等等。流量分析能力指標(biāo)包括：網(wǎng)絡(luò)協(xié)議解析覆蓋類型（SupportedNetworkProtocolsandTypes）：NDR組件支持的網(wǎng)絡(luò)協(xié)議和流量類型范圍和覆蓋率。如果組件能夠支持多種網(wǎng)絡(luò)協(xié)議和流量類型，那么它就具有較強(qiáng)的可擴(kuò)展性和適應(yīng)性。ISONDR的協(xié)議的數(shù)量和能力是NDRPayloadHTTPDNSSMTPPOP3險(xiǎn)。其他網(wǎng)絡(luò)性能指標(biāo)：丟包率、流還原率、網(wǎng)絡(luò)吞吐量、解碼率等等。IAM指標(biāo)和可視化IAM（IdentityandAccessManagement，身份識(shí)別與訪問管理）是一種安全技術(shù)和管理工具，IAMXDR的核心組件，它可以幫助企業(yè)實(shí)現(xiàn)身份驗(yàn)證、IAM管理，確保企業(yè)的數(shù)據(jù)安全。XDRIAMEDR組件聯(lián)動(dòng)，以發(fā)現(xiàn)和響應(yīng)內(nèi)部網(wǎng)絡(luò)的攻擊行為；IAMDLP組件聯(lián)動(dòng)，以防止敏感數(shù)據(jù)的泄露；IAMSIEM組件聯(lián)動(dòng)，以收集和分析安全日志，發(fā)現(xiàn)潛在的安全威脅；IAMNDR組件聯(lián)動(dòng)，以確保只有授權(quán)的用戶才能訪問網(wǎng)絡(luò)資源。IAM在使用過程中，主要的評價(jià)指標(biāo)分為：認(rèn)證、授權(quán)與訪問控制、身份管下：認(rèn)證相關(guān)理、認(rèn)證安全性等。其中，認(rèn)證策略是指認(rèn)證的規(guī)則和流程，可以指定認(rèn)證的方式、認(rèn)證的頻率、認(rèn)證的級別等；多個(gè)認(rèn)證因素可以靈活地進(jìn)行組合認(rèn)證，形成多種認(rèn)證方式。認(rèn)證管理是指認(rèn)證的管理和控制，可以指定認(rèn)證的管理者、認(rèn)證的審核者等；多因素認(rèn)證等，以確保認(rèn)證的安全性和可靠性。授權(quán)與訪問控制相關(guān)問控制安全性等。其中，訪問控制策略是指訪問控制的規(guī)則和流程，可以指定訪問控制的方式、訪問控制的頻率、訪問控制的級別等；訪問控制機(jī)制是指訪問控制的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；訪問控制管理是指訪問控制的管理和控制，可以指定訪問控制的管理者、訪問控制的審核者等；訪問控制安全性是指訪問控制的安全性和可靠性，可以采用多種技術(shù)，如雙因素認(rèn)證、多因素認(rèn)證等，以確保訪問控制的安全性和可靠性。身份管理相關(guān)管理的管控、身份管理安全性等。其中，身份管理策略是指身份管理的規(guī)則和流程，可以指定身份管理的方式、身份管理的頻率、身份管理的級別等；身份管理機(jī)制是指身份管理的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；身份管理的管控是指身份管理的管理和控制，可以指定身份管理的管理者、身份管理的審核者等；身份管理安全性是指身份管理的安全性和可靠性，可以采用多種技術(shù)，如雙因素認(rèn)證、多因素認(rèn)證等，以確保身份管理的安全性和可靠性。安全管理相關(guān)安全管理相關(guān)的二級指標(biāo)，主要包括：安全策略、安全機(jī)制、安全管理的管控、安全審計(jì)等。其中，安全策略是指安全的規(guī)則和流程，主要包括安全管理的方式、安全管理的頻率、安全管理的級別等；安全機(jī)制是指安全的技術(shù)和方法，可以采用多種技術(shù)，如加密、數(shù)字簽名等；安全管理的管控是指安全的管理和控制，可以指定安全的管理者、安全的審核者等；安全審計(jì)是指安全的審計(jì)和監(jiān)控，可以采用多種技術(shù)，如日志審計(jì)、安全掃描等，以確保安全的審計(jì)和監(jiān)控。審計(jì)相關(guān)等。其中，的級別等；審計(jì)機(jī)制是指審計(jì)的技術(shù)和方法，可以采用多種技術(shù)，如日志審計(jì)、安全掃描等；審計(jì)管理是指審計(jì)的管理和控制，可以指定審計(jì)的管理者、審計(jì)的審核者等；數(shù)據(jù)完整性等，以確保審計(jì)的安全性和可靠性。XDR與態(tài)勢感知平臺(tái)的關(guān)系態(tài)勢感知平臺(tái)概念A(yù)IUEBA態(tài)勢感知平臺(tái)行業(yè)實(shí)踐情況勢感知解決方案廠商已通過日志審計(jì)、SIEM等技術(shù)手段實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備信息、安全設(shè)備信息以及網(wǎng)絡(luò)流量威脅分析數(shù)據(jù)的采集獲取。正在努力通過“能力中臺(tái)化”、開放式應(yīng)用程序編程接口（API）等方式提升自設(shè)項(xiàng)目的定制化開發(fā)依舊難以避免。了日志泛化、威脅檢測、關(guān)聯(lián)分析、溯源取證等能力。定的準(zhǔn)確性以及對新型威脅的及時(shí)感知能力效果明顯。IT資產(chǎn)的不斷增加，態(tài)勢感知平臺(tái)獲取和管理的數(shù)/半自動(dòng)化的分析和處置能力能夠?qū)踩\(yùn)營人員從簡單重復(fù)的工作流程中解協(xié)作化的高價(jià)值安全能力。XDR與態(tài)勢感知平臺(tái)的差異態(tài)勢感知（SituationAwareness）NDR演進(jìn)而來的態(tài)勢感知，更關(guān)注通過大NDR設(shè)備，優(yōu)點(diǎn)在于可以快速鏡像出流量進(jìn)行旁路檢測，不會(huì)對網(wǎng)絡(luò)技戰(zhàn)術(shù)較少，在對抗不同攻防場景的情況下顯得乏力。其對接能力也相入平臺(tái)，是一個(gè)依托網(wǎng)絡(luò)流量為基礎(chǔ)構(gòu)建的威脅檢測和安全態(tài)勢平臺(tái)。XDR通過對接網(wǎng)絡(luò)側(cè)和終端側(cè)的不同安全組件，首先定義遙測數(shù)據(jù)的標(biāo)準(zhǔn)，80%XDRXDR數(shù)據(jù)編織過程中的富化信息。是一個(gè)依托遙測數(shù)據(jù)為基礎(chǔ)、可以廣泛對接各種安全組件的威脅深度檢測和統(tǒng)一安全平臺(tái)。XDR優(yōu)勢分析XDRXDR決現(xiàn)在面臨的眾多安全設(shè)備協(xié)調(diào)的問題。XDRSIEM平臺(tái)的關(guān)系盡管EDRSIEMXDR大到終端之外，并提供跨終端、網(wǎng)絡(luò)、服務(wù)器、SIEM等的檢測、分析和響應(yīng)。圖1XDR可以提供一個(gè)跨多個(gè)工具和平臺(tái)的統(tǒng)一的管理視圖，管理視圖中XDR可以自動(dòng)收集和關(guān)聯(lián)多個(gè)安全向量的數(shù)據(jù)，促進(jìn)更快和更復(fù)雜攻擊場景下的攻擊檢測，XDR還可以實(shí)現(xiàn)跨多個(gè)XDR圖2說起SIEM的發(fā)展，離不開態(tài)勢感知產(chǎn)品的發(fā)展，之前看到的都是單個(gè)安全設(shè)備告警，比如防火墻告警、WAF告警、漏掃告警等等，安全運(yùn)維需要一個(gè)一個(gè)設(shè)備的看告警。于是自然而然想到了融合所有的告警在一張屏幕上，這就是SIEMSIEMSIEMSIEM中，因此早期SIEM告警數(shù)量太多，為了進(jìn)一步優(yōu)化，聰明的安全運(yùn)維人員發(fā)現(xiàn)，如果防火墻SIEM的告警從以前但是隨著而來的是告警數(shù)量再次暴漲，安全運(yùn)維人員苦不堪言。GartnerSIEM“（近實(shí)時(shí)和歷史SIME可以從終端、網(wǎng)絡(luò)、系統(tǒng)等整個(gè)企業(yè)的幾乎任何來源收集可用的日志和事件數(shù)據(jù)，SIEM可以支持同時(shí)為多個(gè)用例進(jìn)行存儲(chǔ)。其/IOC或攻擊指標(biāo)。圖3IEMIT無異于處于“盲飛”SIEMSIEM工具需要大量的微調(diào)和努力才能實(shí)現(xiàn)。安全團(tuán)隊(duì)也可能被來自SIEMSOCSIEM器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報(bào)的被動(dòng)分析工具。XDRSIEMSOAR劇本編排與自動(dòng)化響應(yīng)技僅關(guān)注威脅檢測SIEM除了關(guān)注威脅檢測與響應(yīng)，還要覆蓋日志存儲(chǔ)及合規(guī)審計(jì)等其SIEMXDRSIEM要簡XR出效果比SEM/SR更快。XDRSIEMXDR的重要組成部分?，F(xiàn)代SIEMSIEMSOCXDR可以改進(jìn)威SIEM實(shí)現(xiàn)流程的現(xiàn)代化、集成和自動(dòng)化。XDR可以有效協(xié)助SIEM提升威脅檢測和響應(yīng)效率。尤其是在改進(jìn)高級威脅檢測、自動(dòng)化任務(wù)以及威脅平均響應(yīng)時(shí)間方面。同時(shí)，XDRAPTXDR生態(tài)國外生態(tài)相關(guān)標(biāo)準(zhǔn)包括通用漏洞披露（CVE）、結(jié)構(gòu)化威脅信息表達(dá)（STIX）和可信自動(dòng)情報(bào)信息交換等。通用漏洞披露（CommonVulnerabilities&Exposures，CVE），對已發(fā)現(xiàn)的網(wǎng)據(jù)庫和漏洞評估工具中實(shí)現(xiàn)漏洞數(shù)據(jù)共享。結(jié)構(gòu)化威脅信息表達(dá)（StructuredThreatInformationExpression，STIX）是一STIX威脅協(xié)同分析、自動(dòng)化威脅情報(bào)交換、自動(dòng)化威脅檢測和響應(yīng)等。AutomatedeXchangeofIndicatorInformation，STIX基礎(chǔ)上定義了網(wǎng)絡(luò)威脅情報(bào)共享的協(xié)議、服務(wù)和格式等。是網(wǎng)相關(guān)接口國外相關(guān)技術(shù)組織圍繞網(wǎng)絡(luò)安全信息交換功能接口實(shí)現(xiàn)等開展了相關(guān)標(biāo)準(zhǔn)（OpenDXL）等。（OpenCommandand通過提供一套OpenC2規(guī)范定義不同產(chǎn)品執(zhí)行命令和控制信息的功能和配置信息。開放消息總線規(guī)范（OpenDataeXchangeLayer，OpenDXL），定義了通信模型。OpenDXLOntologyOpenDXL消息總線上的一種開源模型描述，通過消國內(nèi)生態(tài)相關(guān)標(biāo)準(zhǔn)展了數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)的研制。在漏洞管理方面，GB/T28458-2020GB/T30279-2020分級方法建議。在網(wǎng)絡(luò)安全威脅信息格式方