扩展侦测与响应系统(XDR)
我们的 XDR 系统融合端点、网络、云端多源数据,通过 AI 驱动的关联分析和自动化响应,将告警降噪 99% 并缩短响应时间至秒级,构建统一的主动防御体系。
在企业数字化深度渗透的今天,网络攻击已从单一入口、单一手法的“点状威胁”,演变为横跨终端、网络、云、身份、邮件等多维度的“链式攻击”。传统安全产品堆叠模式(EDR、NDR、SIEM、SOAR各自为政)带来的不仅是海量告警与高昂运维成本,更造成了“盲人摸象”式的响应盲区。
扩展侦测与响应系统(XDR) 并非简单的技术迭代,而是一次安全架构的重构。这里我给它的定义是:打破数据孤岛,将多源遥测转化为统一、可行动、自动化的威胁防御能力。
我们的扩展侦测与响应系统(XDR)的核心在于跨域(终端、网络、云、身份)的数据关联与自动化响应。它打破了传统安全产品的孤岛,通过原生集成或开放架构提供统一的威胁检测与响应能力。
接下来,我为大家介绍下我们自研的扩展侦测与响应系统(XDR) 核心功能与特性,以下简称为XDR
XDR核心功能矩阵(五大能力支柱)

比如我们的XDR系统支持以下功能:
- 跨域数据采集(传感器层)
- 终端检测与响应(EDR):采集终端进程、注册表、文件行为、内存信息,具备终端层面的威胁狩猎和取证能力。
- 网络流量分析(NDR):深度分析网络流量(南北向和东西向),检测横向移动、数据外泄、端口扫描、C2通信等异常行为。
- 身份威胁检测与响应(ITDR):监测Active Directory (AD)、Entra ID (Azure AD)等身份提供商,检测凭证盗用、异常登录、暴力破解、权限提升等身份相关威胁。
- 云检测与响应(CDR):监控AWS、Azure、Google Cloud等云环境,检测云服务配置错误、异常API调用、加密挖矿、云账户失陷等。
- 应用检测与响应:对SaaS应用(如Office 365、Google Workspace、Confluence、Jira)进行防护,检测钓鱼邮件、异常邮件规则、恶意文件分享等。
- 智能分析与关联
- 自动化关联与事件摘要:利用AI/ML引擎(如Multi-Layer AI™)自动将来自不同传感器的低级别告警(告警风暴)聚合成一个具有完整攻击链(杀伤链)的高级事件(Incident),并生成白话式的事件摘要。
- 可视化攻击图谱:将攻击过程以图形化方式展示,直观呈现攻击入口、横向移动路径及受影响资产。
- 自动化响应与编排
- 自动化响应工作流:内置或支持自定义响应剧本,当特定威胁被确认时,自动执行响应动作,如:隔离终端、阻断IP、挂起用户账户、删除恶意邮件、关闭云主机等。
- 一键修复:针对特定威胁(如身份泄露)提供一键式修复建议和操作,降低MTTR(平均响应时间)。
- 开放性架构
- 威胁狩猎:支持安全分析师在统一数据湖中进行跨时间段、跨数据源的主动搜索,以发现隐匿的威胁。
能力支柱一:跨域遥测的归一化采集与融合
我们XDR系统区别于传统产品的首要特征,是其对异构数据的接纳能力。这点与我们的 多源异构弹性日志审计系统(LAS)相同。1. 多源遥测采集
- 端点(EDR深度集成): 进程树、注册表变更、文件操作、内存扫描、线程行为。
- 网络(NDR/防火墙): 南北向流量元数据、东西向流量(微隔离)、TLS证书、DNS查询、HTTP/HTTPS对象。
- 身份与目录(Identity): AD/LDAP认证日志、Kerberos票据、特权账号行为、MFA失败尝试。
- 云工作负载(CWPP): 容器(K8s审计日志)、Serverless调用链、云API调用(CloudTrail)、存储桶策略变更。
- 邮件与协作(Email Security): 邮件头分析、附件沙箱引爆、链接重写记录、OAuth应用授权行为。
- SaaS应用(SaaS Security): 关键文件分享、异常登录地理位置、API调用频次。
2. 数据归一化与标准化
- 统一数据模型(UDM): 将不同厂商的
process.create、ProcessStart等异构字段,映射为标准语义字段(如actor.process.name、target.file.path)。 - 时间对齐与补全: 自动处理多源设备的时间漂移,通过NTP漂移补偿算法实现毫秒级事件对齐。
- 结构化富化: 原始日志 → 字段提取 → 情报富化(添加威胁情报标签、资产重要性标签、地理位置) → 上下文关联。
能力支柱二:融合型威胁检测引擎
我们XDR系统的检测不再是单点规则的简单叠加,而是多模态证据的协同分析。1. 多层级检测模型
| 检测层级 | 技术实现 | 典型场景 |
|---|---|---|
| 基于IOC(失陷指标) | 全字段匹配 + 通配符/正则 | 已知恶意哈希、C2域名黑名单 |
| 基于IOA(攻击行为) | 行为序列模式匹配(如Kill Chain阶段映射) | 进程自启动 + 注册表修改 + 网络外连 |
| 基于ML(机器学习) | 无监督异常评分(隔离森林/变分自编码器) | 罕见的RDP登录时段 + 大量文件访问 |
| 基于图关联 | 行为实体关系图谱(进程→文件→网络→用户) | 横向移动路径发现(Pass-the-Hash链) |
| 基于ATT&CK映射 | 行为编目到MITRE ATT&CK技术ID | 自动标注攻击阶段与战术目的 |
2. 跨实体关联分析
- 实体中心视图: 以主机、用户、IP、文件哈希、云资源ID为核心,聚合该实体的所有历史行为。
- 时间窗口滑动关联: 支持长周期(如30天)低慢攻击模式识别,以及毫秒级高频操作链拼接。
- 异常组合打分: 例如“新创建服务(低风险) + 从罕见地理位置访问(中风险) + 目标为高价值资产(高权重)” → 综合风险分92/100。
能力支柱三:统一威胁调查与溯源
我们XDR系统的价值兑现点在于:将告警从“发生了什么”进化为“发生了什么、怎么发生的、影响多大、现在是否还在发生”。1. 可视化攻击故事线
- 时间线折叠: 将相关告警、事件、上下文按攻击阶段自动折叠为一条完整故事线,而非时间倒序罗列。
- 进程树可视化: 展示攻击从初始执行(如钓鱼附件)到后续进程注入、提权、持久化、横向移动的全过程。
- 依赖关系图: 展示文件、注册表、计划任务、服务、网络连接之间的派生关系。
2. 深度上下文调查能力
- 实时的端到端时间旅行: 对于端点,支持回溯某进程过去30天内的所有子进程、文件读写、网络连接(需预先配置数据保留策略)。
- 原始数据探查: 一键从聚合告警下钻到原始日志(如完整的PCAP、进程内存dump、注册表完整值)。
- IOC扩线查询: 输入一个可疑哈希,系统自动回答:哪些终端有过该文件?谁执行了它?它访问了哪些域名?是否有其他变种?
3. 自动化根因推断
- 初始向量判定: 通过时间排序与依赖链,自动标记攻击起点(如“从用户A双击附件开始”)。
- 影响范围清单: 自动计算受影响主机数、用户账号数、敏感数据访问记录、暴露的云资源。
- 持续活性检测: 判定攻击组件(如驻留服务、计划任务)当前是否仍存活于系统中。
能力支柱四:精准化响应与修复
我们XDR系统的响应目标是:可衡量、可逆、可审计,且最大限度减少业务中断。1. 分层响应动作库
| 响应层级 | 动作示例 | 适用场景 |
|---|---|---|
| 告警层 | 变更告警状态、添加注释、生成工单 | 误报处理、调查移交 |
| 网络层 | 阻断IP/域名、隔离VLAN、撤销云安全组规则 | 检测到C2通信、数据外传 |
| 端点层 | 终止进程、隔离主机(仅允许与XDR通信)、删除计划任务、恢复注册表 | 恶意软件驻留、勒索软件加密中 |
| 身份层 | 强制重置密码、吊销会话令牌、禁用MFA绕过的账号 | 凭证泄露、异常SSO活动 |
| 云层 | 撤销临时凭证、快照受损云盘、回滚K8s部署 | 云API滥用、容器逃逸 |
2. 编排响应(Playbook)
- 条件触发器: 当检测到勒索软件行为(如批量修改文件扩展名 + 删除卷影副本)→ 自动执行:隔离主机 → 终止关联进程 → 创建工单 → 通知安全值班长。
- 人工审批门禁: 高风险响应动作(如批量隔离50+主机)默认需二次确认,支持与Jira/ServiceNow集成审批流。
- 回滚与补偿: 响应动作需可逆。例如“阻断IP”需配套超时自动解封(如1小时);“隔离主机”需支持一键恢复网络。
3. 闭环度量
- MTTD(平均侦测时间)缩短: XDR通过关联分析,可较传统SIEM减少90%以上的人工分析时间。
- MTTR(平均响应时间)缩短: 自动化Playbook可将隔离+终止进程时间压缩至秒级。
- 响应覆盖率: 统计针对某类攻击(如钓鱼)是否有预定义响应动作,以及自动化执行比例。
能力支柱五:持续狩猎与态势感知
我们XDR系统不仅是被动检测,更支持主动威胁狩猎与整体安全态势量化。这个特性也是我们威胁狩猎系统(THS)的一部分。1. 威胁狩猎工作台
- 自然语言查询(NLQ): 输入“显示过去24小时所有从罕见国家访问数据库的主机”,系统自动转换为Linq/Sigma查询。
- 狩猎指标库: 内置或导入Sigma规则、YARA规则、MITRE ATT&CK映射查询。
- 假说验证辅助: 提供数据透视工具(如按进程名聚合、按用户异常登录地理分布聚类)。
2. 态势度量面板
- 风险趋势: 高危告警数量、受影响资产数量、未处置告警老化时间的时序曲线。
- 杀伤链覆盖度: 当前检测能力覆盖MITRE ATT&CK的哪些战术与技术,缺失哪些关键检测点。
- 资产暴露面分析: 哪些主机长期未安装补丁但持续存在SMB高危漏洞利用告警。
- 响应SLA达成率: 针对严重告警,从产生到开始调查、到完成响应的SLA时间占比。
产品特性
### 特性1:原生集成 vs. 后装集成原生集成(Built-in): 端点、网络、身份等传感器由同一技术栈构建,数据模型、通信协议、策略格式统一。优势在于低延迟(毫秒级关联)、高可靠(统一心跳)、低开销(共享解析引擎)。
后装集成(Bolted-on): 通过API拉取第三方产品告警,本质上仍是SIEM逻辑。XDR应优先采用原生集成,对第三方通过开放数据总线适配。
特性2:可配置的检测与响应粒度
我们的企业级XDR支持从“完全自动化”到“仅检测”的连续谱系配置:
- 静默检测模式: 仅产生告警,不执行任何自动化动作(适用于新规则试运行)。
- 建议模式: 系统推荐响应动作,需人工单击执行。
- 半自动模式: 低风险动作(如更新告警状态)自动执行,高风险动作需审批。
- 全自动模式: 针对某些攻击类型(如勒索软件)启用完整自动响应链。
特性3:高性能与低资源占用
- 端点Agent开销: 典型场景下CPU占用 ≤ 3%,内存 ≤ 150MB,磁盘IO ≤ 50MB/天(需支持配置节流策略)。
- 分析引擎水平扩展: 支持Kafka + Flink流处理架构,单集群处理能力 ≥ 10万EPS(事件每秒)。
- 存储冷热分层: 近期热数据(7天)存SSD,中期温数据(30天)存HDD,长期冷数据(365天)存对象存储,并支持可配置的数据降采样。
特性4:开放性与可编程性
- 开放数据总线: 提供Kafka、Syslog、Webhook、API等多种方式输出归一化后的数据,供下游数据湖或SIEM使用(XDR不应成为孤岛)。
- 自定义检测脚本: 支持Python/Go等沙箱环境运行自定义检测逻辑,用于特定业务场景的异常检测(如财务系统罕见转账金额模式)。
- Playbook市场: 预置常见攻击类型(钓鱼、勒索、内鬼、挖矿)的响应剧本,支持用户上传、分享、打分。
特性5:隐私合规与数据驻留
- 数据本地化: 支持按租户、按地区配置数据存储位置(例如欧盟数据不离开法兰克福节点)。
- PII脱敏: 自动识别日志中的用户名、邮箱、IP地址,提供可配置的脱敏规则(如哈希化、截断)。
- 审计日志不可变: 所有配置变更、告警状态变更、响应动作执行,均产生不可变审计日志,满足SOC2、ISO27001等合规要求。
特性6:统一策略语言
我们XDR系统提供一种跨所有传感器类型的策略描述语言。例如:
if (process.executed_from_temp AND network.connects_to_dynamic_dns AND user.not_in_allowlist)
then alert.xdr("Potential Download Cradle") and recommend.quarantine(host)
而非分别为EDR、NDR、身份产品维护不同策略语法。这极大降低了安全策略的复杂性。
价值量化指标

我们在测试验证XDR系统时,按照以下可衡量收益的指标体系来评估系统强弱:
| 指标类别 | 具体指标 | 测量方法 |
|---|---|---|
| 效率提升 | 平均事件调查时间(MTTI) | 从打开告警到确认真阳性的时间 |
| 准确性 | 告警降噪比 | (原始告警数 - 真阳性数)/ 原始告警数 |
| 响应速度 | 自动响应动作占比 | 自动执行动作数 / 总响应动作数 |
| 覆盖度 | 杀伤链覆盖阶段数 | 实际能检测到MITRE ATT&CK的战术数量 |
| 成本 | 每EPS运维成本 | 总TCO(含人力)/ 系统吞吐量 |
一般情况下,部署后6-12个月可实现的改善目标:
- 告警降噪比 ≥ 90%(从每天数千降至数百甚至数十)
- MTTI 从数小时降至 15-30 分钟
- 自动响应占比 ≥ 60%(针对高置信度检测)
最后
从前面的内容可以看到,XDR是多种工具系统的一个综合融合,比如SIEM、EDR、NDR、LAS、THS,这块我们都分别有各自的子系统功能。
我们认为XDR最终的成功并非取决于哪一个检测算法更精准,而在于它是否真正降低了安全团队的整体认知负荷。具体而言:
- 让分析师只关注真正的攻击故事线,而非海量事件。 这是XDR区别于传统工具最核心的体验价值。
- 响应动作必须像“撤销”按钮一样简单可逆。 安全人员的最大焦虑是“我响应错了怎么办”。提供预览、模拟运行、回滚能力,比多一个检测规则更重要。
- XDR应成为安全数据的中台,而非又一个数据烟囱。 开放输出、支持被集成,反而能提升XDR在企业安全架构中的核心地位。
- 从第一天起就考虑“静默模式”与“仅检测”运行。 企业采用XDR的最大障碍是信任,允许逐步、分区域、分攻击类型开启自动化响应,是产品落地的必经之路。
XDR不是要替代所有安全产品,而是要重构安全团队的工作流:从“消防员式救火”转向“指挥中心式全局调度”。这既是技术问题,更是人机交互与信任设计的问题。
本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。