Skip to content

zrf-rocket/openXDR

Repository files navigation

扩展侦测与响应系统(XDR)

关于我们

我们的技术文章和产品概述欢迎浏览我们的门户。

  • 公众号:CTO Plus

最新的动态欢迎关注我们官方唯一公众号。

微信公众号

  • 作者QQ

更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。

我的QQ

  • QQ群

我们官方组建的QQ群,如果您有兴趣也可以加入我们。

QQ群

  • 请喝咖啡

如果感兴趣,也可以请我喝杯咖啡

请我喝咖啡

产品核心功能模块

在企业数字化深度渗透的今天,网络攻击已从单一入口、单一手法的“点状威胁”,演变为横跨终端、网络、云、身份、邮件等多维度的“链式攻击”。传统安全产品堆叠模式(EDR、NDR、SIEM、SOAR各自为政)带来的不仅是海量告警与高昂运维成本,更造成了“盲人摸象”式的响应盲区。

扩展侦测与响应系统(XDR) 并非简单的技术迭代,而是一次安全架构的重构。这里我给它的定义是:打破数据孤岛,将多源遥测转化为统一、可行动、自动化的威胁防御能力。

我们的扩展侦测与响应系统(XDR)的核心在于跨域(终端、网络、云、身份)的数据关联与自动化响应。它打破了传统安全产品的孤岛,通过原生集成或开放架构提供统一的威胁检测与响应能力。

接下来,我为大家介绍下我们自研的扩展侦测与响应系统(XDR) 核心功能与特性,以下简称为XDR


XDR核心功能矩阵(五大能力支柱)

比如我们的XDR系统支持以下功能:

  1. 跨域数据采集(传感器层)
  • 终端检测与响应(EDR):采集终端进程、注册表、文件行为、内存信息,具备终端层面的威胁狩猎和取证能力。
  • 网络流量分析(NDR):深度分析网络流量(南北向和东西向),检测横向移动、数据外泄、端口扫描、C2通信等异常行为。
  • 身份威胁检测与响应(ITDR):监测Active Directory (AD)、Entra ID (Azure AD)等身份提供商,检测凭证盗用、异常登录、暴力破解、权限提升等身份相关威胁。
  • 云检测与响应(CDR):监控AWS、Azure、Google Cloud等云环境,检测云服务配置错误、异常API调用、加密挖矿、云账户失陷等。
  • 应用检测与响应:对SaaS应用(如Office 365、Google Workspace、Confluence、Jira)进行防护,检测钓鱼邮件、异常邮件规则、恶意文件分享等。
  1. 智能分析与关联
  • 自动化关联与事件摘要:利用AI/ML引擎(如Multi-Layer AI™)自动将来自不同传感器的低级别告警(告警风暴)聚合成一个具有完整攻击链(杀伤链)的高级事件(Incident),并生成白话式的事件摘要。
  • 可视化攻击图谱:将攻击过程以图形化方式展示,直观呈现攻击入口、横向移动路径及受影响资产。
  1. 自动化响应与编排
  • 自动化响应工作流:内置或支持自定义响应剧本,当特定威胁被确认时,自动执行响应动作,如:隔离终端、阻断IP、挂起用户账户、删除恶意邮件、关闭云主机等。
  • 一键修复:针对特定威胁(如身份泄露)提供一键式修复建议和操作,降低MTTR(平均响应时间)。
  1. 开放性架构
  • 威胁狩猎:支持安全分析师在统一数据湖中进行跨时间段、跨数据源的主动搜索,以发现隐匿的威胁。

能力支柱一:跨域遥测的归一化采集与融合

我们XDR系统区别于传统产品的首要特征,是其对异构数据的接纳能力。这点与我们的 多源异构弹性日志审计系统(LAS)相同。

1. 多源遥测采集

  • 端点(EDR深度集成): 进程树、注册表变更、文件操作、内存扫描、线程行为。
  • 网络(NDR/防火墙): 南北向流量元数据、东西向流量(微隔离)、TLS证书、DNS查询、HTTP/HTTPS对象。
  • 身份与目录(Identity): AD/LDAP认证日志、Kerberos票据、特权账号行为、MFA失败尝试。
  • 云工作负载(CWPP): 容器(K8s审计日志)、Serverless调用链、云API调用(CloudTrail)、存储桶策略变更。
  • 邮件与协作(Email Security): 邮件头分析、附件沙箱引爆、链接重写记录、OAuth应用授权行为。
  • SaaS应用(SaaS Security): 关键文件分享、异常登录地理位置、API调用频次。

2. 数据归一化与标准化

  • 统一数据模型(UDM): 将不同厂商的process.createProcessStart等异构字段,映射为标准语义字段(如actor.process.nametarget.file.path)。
  • 时间对齐与补全: 自动处理多源设备的时间漂移,通过NTP漂移补偿算法实现毫秒级事件对齐。
  • 结构化富化: 原始日志 → 字段提取 → 情报富化(添加威胁情报标签、资产重要性标签、地理位置) → 上下文关联。

能力支柱二:融合型威胁检测引擎

我们XDR系统的检测不再是单点规则的简单叠加,而是多模态证据的协同分析。

1. 多层级检测模型

检测层级 技术实现 典型场景
基于IOC(失陷指标) 全字段匹配 + 通配符/正则 已知恶意哈希、C2域名黑名单
基于IOA(攻击行为) 行为序列模式匹配(如Kill Chain阶段映射) 进程自启动 + 注册表修改 + 网络外连
基于ML(机器学习) 无监督异常评分(隔离森林/变分自编码器) 罕见的RDP登录时段 + 大量文件访问
基于图关联 行为实体关系图谱(进程→文件→网络→用户) 横向移动路径发现(Pass-the-Hash链)
基于ATT&CK映射 行为编目到MITRE ATT&CK技术ID 自动标注攻击阶段与战术目的

2. 跨实体关联分析

  • 实体中心视图: 以主机、用户、IP、文件哈希、云资源ID为核心,聚合该实体的所有历史行为。
  • 时间窗口滑动关联: 支持长周期(如30天)低慢攻击模式识别,以及毫秒级高频操作链拼接。
  • 异常组合打分: 例如“新创建服务(低风险) + 从罕见地理位置访问(中风险) + 目标为高价值资产(高权重)” → 综合风险分92/100。

能力支柱三:统一威胁调查与溯源

我们XDR系统的价值兑现点在于:将告警从“发生了什么”进化为“发生了什么、怎么发生的、影响多大、现在是否还在发生”。

1. 可视化攻击故事线

  • 时间线折叠: 将相关告警、事件、上下文按攻击阶段自动折叠为一条完整故事线,而非时间倒序罗列。
  • 进程树可视化: 展示攻击从初始执行(如钓鱼附件)到后续进程注入、提权、持久化、横向移动的全过程。
  • 依赖关系图: 展示文件、注册表、计划任务、服务、网络连接之间的派生关系。

2. 深度上下文调查能力

  • 实时的端到端时间旅行: 对于端点,支持回溯某进程过去30天内的所有子进程、文件读写、网络连接(需预先配置数据保留策略)。
  • 原始数据探查: 一键从聚合告警下钻到原始日志(如完整的PCAP、进程内存dump、注册表完整值)。
  • IOC扩线查询: 输入一个可疑哈希,系统自动回答:哪些终端有过该文件?谁执行了它?它访问了哪些域名?是否有其他变种?

3. 自动化根因推断

  • 初始向量判定: 通过时间排序与依赖链,自动标记攻击起点(如“从用户A双击附件开始”)。
  • 影响范围清单: 自动计算受影响主机数、用户账号数、敏感数据访问记录、暴露的云资源。
  • 持续活性检测: 判定攻击组件(如驻留服务、计划任务)当前是否仍存活于系统中。

能力支柱四:精准化响应与修复

我们XDR系统的响应目标是:可衡量、可逆、可审计,且最大限度减少业务中断。

1. 分层响应动作库

响应层级 动作示例 适用场景
告警层 变更告警状态、添加注释、生成工单 误报处理、调查移交
网络层 阻断IP/域名、隔离VLAN、撤销云安全组规则 检测到C2通信、数据外传
端点层 终止进程、隔离主机(仅允许与XDR通信)、删除计划任务、恢复注册表 恶意软件驻留、勒索软件加密中
身份层 强制重置密码、吊销会话令牌、禁用MFA绕过的账号 凭证泄露、异常SSO活动
云层 撤销临时凭证、快照受损云盘、回滚K8s部署 云API滥用、容器逃逸

2. 编排响应(Playbook)

  • 条件触发器: 当检测到勒索软件行为(如批量修改文件扩展名 + 删除卷影副本)→ 自动执行:隔离主机 → 终止关联进程 → 创建工单 → 通知安全值班长。
  • 人工审批门禁: 高风险响应动作(如批量隔离50+主机)默认需二次确认,支持与Jira/ServiceNow集成审批流。
  • 回滚与补偿: 响应动作需可逆。例如“阻断IP”需配套超时自动解封(如1小时);“隔离主机”需支持一键恢复网络。

3. 闭环度量

  • MTTD(平均侦测时间)缩短: XDR通过关联分析,可较传统SIEM减少90%以上的人工分析时间。
  • MTTR(平均响应时间)缩短: 自动化Playbook可将隔离+终止进程时间压缩至秒级。
  • 响应覆盖率: 统计针对某类攻击(如钓鱼)是否有预定义响应动作,以及自动化执行比例。

能力支柱五:持续狩猎与态势感知

我们XDR系统不仅是被动检测,更支持主动威胁狩猎与整体安全态势量化。这个特性也是我们威胁狩猎系统(THS)的一部分。

1. 威胁狩猎工作台

  • 自然语言查询(NLQ): 输入“显示过去24小时所有从罕见国家访问数据库的主机”,系统自动转换为Linq/Sigma查询。
  • 狩猎指标库: 内置或导入Sigma规则、YARA规则、MITRE ATT&CK映射查询。
  • 假说验证辅助: 提供数据透视工具(如按进程名聚合、按用户异常登录地理分布聚类)。

2. 态势度量面板

  • 风险趋势: 高危告警数量、受影响资产数量、未处置告警老化时间的时序曲线。
  • 杀伤链覆盖度: 当前检测能力覆盖MITRE ATT&CK的哪些战术与技术,缺失哪些关键检测点。
  • 资产暴露面分析: 哪些主机长期未安装补丁但持续存在SMB高危漏洞利用告警。
  • 响应SLA达成率: 针对严重告警,从产生到开始调查、到完成响应的SLA时间占比。

产品特性

特性1:原生集成 vs. 后装集成

原生集成(Built-in): 端点、网络、身份等传感器由同一技术栈构建,数据模型、通信协议、策略格式统一。优势在于低延迟(毫秒级关联)、高可靠(统一心跳)、低开销(共享解析引擎)。
后装集成(Bolted-on): 通过API拉取第三方产品告警,本质上仍是SIEM逻辑。XDR应优先采用原生集成,对第三方通过开放数据总线适配。

特性2:可配置的检测与响应粒度

我们的企业级XDR支持从“完全自动化”到“仅检测”的连续谱系配置:

  • 静默检测模式: 仅产生告警,不执行任何自动化动作(适用于新规则试运行)。
  • 建议模式: 系统推荐响应动作,需人工单击执行。
  • 半自动模式: 低风险动作(如更新告警状态)自动执行,高风险动作需审批。
  • 全自动模式: 针对某些攻击类型(如勒索软件)启用完整自动响应链。

特性3:高性能与低资源占用

  • 端点Agent开销: 典型场景下CPU占用 ≤ 3%,内存 ≤ 150MB,磁盘IO ≤ 50MB/天(需支持配置节流策略)。
  • 分析引擎水平扩展: 支持Kafka + Flink流处理架构,单集群处理能力 ≥ 10万EPS(事件每秒)。
  • 存储冷热分层: 近期热数据(7天)存SSD,中期温数据(30天)存HDD,长期冷数据(365天)存对象存储,并支持可配置的数据降采样。

特性4:开放性与可编程性

  • 开放数据总线: 提供Kafka、Syslog、Webhook、API等多种方式输出归一化后的数据,供下游数据湖或SIEM使用(XDR不应成为孤岛)。
  • 自定义检测脚本: 支持Python/Go等沙箱环境运行自定义检测逻辑,用于特定业务场景的异常检测(如财务系统罕见转账金额模式)。
  • Playbook市场: 预置常见攻击类型(钓鱼、勒索、内鬼、挖矿)的响应剧本,支持用户上传、分享、打分。

特性5:隐私合规与数据驻留

  • 数据本地化: 支持按租户、按地区配置数据存储位置(例如欧盟数据不离开法兰克福节点)。
  • PII脱敏: 自动识别日志中的用户名、邮箱、IP地址,提供可配置的脱敏规则(如哈希化、截断)。
  • 审计日志不可变: 所有配置变更、告警状态变更、响应动作执行,均产生不可变审计日志,满足SOC2、ISO27001等合规要求。

特性6:统一策略语言

我们XDR系统提供一种跨所有传感器类型的策略描述语言。例如:

if (process.executed_from_temp AND network.connects_to_dynamic_dns AND user.not_in_allowlist) 
then alert.xdr("Potential Download Cradle") and recommend.quarantine(host)

而非分别为EDR、NDR、身份产品维护不同策略语法。这极大降低了安全策略的复杂性。


价值量化指标

我们在测试验证XDR系统时,按照以下可衡量收益的指标体系来评估系统强弱:

指标类别 具体指标 测量方法
效率提升 平均事件调查时间(MTTI) 从打开告警到确认真阳性的时间
准确性 告警降噪比 (原始告警数 - 真阳性数)/ 原始告警数
响应速度 自动响应动作占比 自动执行动作数 / 总响应动作数
覆盖度 杀伤链覆盖阶段数 实际能检测到MITRE ATT&CK的战术数量
成本 每EPS运维成本 总TCO(含人力)/ 系统吞吐量

一般情况下,部署后6-12个月可实现的改善目标:

  • 告警降噪比 ≥ 90%(从每天数千降至数百甚至数十)
  • MTTI 从数小时降至 15-30 分钟
  • 自动响应占比 ≥ 60%(针对高置信度检测)

最后

从前面的内容可以看到,XDR是多种工具系统的一个综合融合,比如SIEM、EDR、NDR、LAS、THS,这块我们都分别有各自的子系统功能。

我们认为XDR最终的成功并非取决于哪一个检测算法更精准,而在于它是否真正降低了安全团队的整体认知负荷。具体而言:

  1. 让分析师只关注真正的攻击故事线,而非海量事件。 这是XDR区别于传统工具最核心的体验价值。
  2. 响应动作必须像“撤销”按钮一样简单可逆。 安全人员的最大焦虑是“我响应错了怎么办”。提供预览、模拟运行、回滚能力,比多一个检测规则更重要。
  3. XDR应成为安全数据的中台,而非又一个数据烟囱。 开放输出、支持被集成,反而能提升XDR在企业安全架构中的核心地位。
  4. 从第一天起就考虑“静默模式”与“仅检测”运行。 企业采用XDR的最大障碍是信任,允许逐步、分区域、分攻击类型开启自动化响应,是产品落地的必经之路。

XDR不是要替代所有安全产品,而是要重构安全团队的工作流:从“消防员式救火”转向“指挥中心式全局调度”。这既是技术问题,更是人机交互与信任设计的问题。


本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。

产品清单

企业网络安全运营中心产品

  • 资产安全配置管理系统(SCMDB)
  • 终端侦测与响应系统(EDR)
  • 网络侦测与响应系统(NDR)
  • 企业网络资产攻击面管理系统(CAASM)
  • 资产暴露面管理系统(AEMS)
  • 网络安全蜜罐管理系统(HoneyPot)
  • 安全事件收集与告警管理系统(SIEM)
  • 扩展侦测与响应系统(XDR)
  • 多引擎脆弱性扫描系统(VAS)
  • 多源日志审计监测系统(LAS)
  • 网络安全威胁情报中心(TIS)
  • 网络安全漏洞库管理系统(VDBS)
  • 网络安全编排与自动化响应(SOAR)
  • 威胁狩猎系统(THS)
  • 数据库安全审计系统(DSAS)
  • AI智能体安全态势管理系统(AISPM)
  • Web防火墙(WAF)
  • 网站安全监测平台(WSM)
  • 网络安全态势感知平台(SSAP)
  • 网络安全自动化应急响应工具系统(NSRT)
  • 企业网络安全运维工具系统(SecTools)
  • 网络安全自动化等保测评系统(ASES)
  • 浏览器安全监测防护系统(BSMPS)
  • 网络安全用户实体行为分析系统(UEBA)
  • 互联网电信诈骗预警防护系统(TPFWS)
  • 云原生安全管理平台(CNAPP)
  • 自动化渗透测试系统(PTS)
  • 工业企业信息安全监测中心(IoT SOC)
  • 企业智能安全运营中心(AISOC)

企业自动化运维产品

  • 运维智能监控告警管理平台(AIMAMS)
  • 企业网络工具系统(NTools)
  • 自动化测试系统(AutoTest)
  • 自动化运维系统(AutoOps)
  • 企业运维工具系统(OpsTools)
  • 物联网管理系统(IoTS)
  • 软件开发生命周期管理系统(SDLC)
  • IT流程管理系统(ITSM)

企业数字化运营资源管理系统产品

  • 制造执行管理系统(MES)
  • 运输管理系统(TMS)
  • 跨境电商企业资源管理系统(ERP)
  • 企业客户关系管理系统(CRM)
  • 跨境电商仓库管理系统(WMS)
  • 财务管理系统(FMS)
  • 质量管理系统(QMS)
  • 精准营销管理系统(PMS)
  • 智能生产管理系统(SPMS)
  • 电商BI系统(BI)
  • 智能互联网分布式爬虫系统(AISpider)

ABOUT

【关于我们】

CTO Plus 🥰

【代码工程系列】

【产品系列】

安全运营中心(SOC)-终端侦测与响应系统(EDR)

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors