随着人工智能技术的快速融入，新一代网络攻击技术使攻击变得更加隐蔽和快速，攻防对抗已从原来的技术之争逐步演变为如今的速度之争，谁能做到更快，谁就能在对抗中占据优势。因此，企业用户需要更主动的安全方案，全面覆盖网络、端点以及云基础架构的威胁数据，从而实现更加快速的威胁检测与响应。

在此背景下，以大数据分析、自动化技术为核心，融合多种威胁检测能力的扩展威胁检测与响应（XDR）技术受到行业普遍关注。为深入了解企业用户对威胁检测&响应的实际需求，以及XDR技术发展现状与应用价值，安全牛联合亚信安全、奇安信、深信服、极盾科技、日志易五家领域代表性国产安全厂商，联合发起《扩展威胁检测与响应(XDR)应用指南》报告（以下简称“报告”）研究工作。

2021年12月3日，“报告”正式发布。受疫情影响，本次发布会采用线上直播的方式举办，来自极盾科技、深信服、奇安信、亚信安全、日志易的一线技术专家与安全牛分析师一起，就目前XDR技术的技术发展、应用挑战、关键技术与发展趋势等热点议题进行了专业分享，超3000人次行业嘉宾在线观看了本次报告发布。

报告关键发现：

1、在威胁检测和响应方面几乎所有企业都需要改进

调研发现，大部分的安全团队在处理诸如威胁检测和事件响应时需要帮助，特别是面对利用人工智能技术发起的自动攻击，现有的解决方案效果不佳。

2、受访企业普遍关注XDR方案并有应用需求

受访的CISO对XDR这些能力很感兴趣：高级威胁的检测、事件自动化处置、威胁检测识别和攻击链的可视化。

3、XDR系统应包括MDR服务

MDR能够帮助组织实现全面监控、快速响应、修复建议、合规治理、辅助运维等服务，对于没有一定专业知识或资源来操作检测和响应工具的组织来说，是一个不错的选择。

4、XDR技术的发展需要互通标准

企业内部的多种安全设备需要有统一的互联互通标准，企业才能享受到联防联控带来的益处。

5、XDR产品的实际应用效果需要验证，产品技术成熟度有待提高

XDR能否真正达到预期效果是企业的信息安全官最关注的问题。当前的XDR产品（方案）在自动关联分析，自动化响应方面智能化还有不足，XDR产品技术成熟度有待提高。

XDR成熟度模型：

为了帮助企业用户更好地评价XDR方案能力与应用价值，安全牛经过充分调研，在本次报告研究中提出XDR技术成熟度模型。该模型通过能力矩阵的方法分为五个层次，分别是L1-基础的威胁发现与响应、L2-基于已知威胁的发现与响应、L3-基于高级威胁的发现与响应、L4-自动化的威胁发现与响应、L5-自适应的威胁发现与响应，层级越高，XDR技术成熟度越高。

安全牛分析师陈发明

在发布会上，安全牛分析师陈发明介绍了本次报告的编写背景和研究方法，并详细介绍了XDR方案典型的4个应用场景：一是面向大型企业组织，在其已经建成的SOC/SIEM平台上集成XDR能力；二是面向中小企业组织，在其预算有限和安全运维人员配置不足的情况下，通过部署轻量化的专用XDR分析平台，实现快速发挥作用的效果；三是在网络攻防实战中，使用XDR分析平台，实现快速联动分析；四是在HW行动中，部署XDR分析平台，快速增强现有安全运营能力。

极盾科技技术总监郑冬东

极盾科技技术总监郑冬东分享了“打破数据孤岛，共建智能安防——XDR在极盾的落地与实践”，提炼XDR落地实现中会涉及到的技术要点，并在技术保障基础上，提出XDR在实际建设过程中面临的一些非技术方面的挑战和建议。他表示：现如今大部分的企业经过多年的安全建设，都会购买并部署了多种安全产品，例如WAF、IPS、DLP、防火墙等，这些产品每天产生成千上万个告警，远远超过安全团队处理的数量，产品之间的相互独立也形成了一个个数据孤岛，迫使运营人员需要关联查找并分析威胁。

深信服实战对抗方案专家杨汉彬

深信服实战对抗方案专家杨汉彬围绕“构建XDR检测响应体系的思路与实践”主题进行了分享。

结合企业的实际案例，杨汉彬分析了当前网络安全的运营现状，并提出“要做好企业网络安全运营，一定要转变思路”的观点。他表示：真正的XDR必须具备多元化的检测能力、完善的响应处置能力、各类环境的广泛适配、持续的能力赋能、不断生长的订阅能力及融合集成的安全服务这六大特征。深信服XDR面向实战设计了深度关联分析和联动响应的机制，打通了跨品类安全产品能力的融合，提供各类能力订阅，支持在线化交付，能够结合安全服务普惠式地为客户构建检测响应体系。

奇安信高级产品经理袁一凡

奇安信高级产品经理袁一凡分享了XDR发展背景与安全挑战以及天眼XDR的实战化应用经验。他指出：随着人工智能技术的快速融入，新型高级网络攻击手段变得越来越智能化、自动化、常态化，对传统的安全防御建立起“降维打击”的优势，一键攻击、自动攻击成为黑客的惯用伎俩。在复杂攻击面前，企业正面临越来越大的安全风险。奇安信XDR安全解决方案，以奇安信网神新一代安全感知系统（天眼）为主，并协同联动终端管理系统、防火墙、服务器安全管理系统、攻击诱捕等第三方设备，能够帮助客户更好更快地发现攻击方的攻击行为；同时，通过平台高效连接了人、工具与事件，降低安全运营人员的工作量，提升企业安全运营效率。

亚信安全高级威胁治理产品总监冯君贺

亚信安全高级威胁治理产品总监冯君贺表示：针对新型网络中普遍存在的“免疫系统”失效，应急手段有限，传播快、途径多、难发现，破坏不可逆、损失惨重等特点，XDR作为统一安全事件检测和响应平台，不仅能够帮助企业增强保护、检测和响应能力，同时还能够帮助企业建立有效防御机制。亚信安全XDR解决方案为用户提供了多种技术、产品及服务的立体防护能力，从防护、检测、响应、预测四个维度帮助企业搭建具有弹性、自我完善的网络安全体系来对抗网络安全威胁，保护重要数据资产的安全性。未来，亚信安全将继续通过理念与技术的迭代创新，协助用户从被动安全事件处理向主动态势感知转变，全面提升高级威胁治理中的恢复补救能力。

日志易安全产品总监施泽寰

日志易安全产品总监施泽寰表示，SIEM、UEBA与SOAR等技术的成熟，也为XDR产品更好落地提供了保障。在日志易推出的XDR解决方案中，可以通过SIEM帮助用户实现数据采集、集成与范式化，对企业安全事件进行全面的检测、调查分析、溯源以及管理，同时通过UEBA对用户异常行为进行检测，侧重内网威胁（如数据泄露，横向移动等场景）发现与分析，最后通过SOAR对内外部威胁进行响应处置，从而深度实现威胁的检测、分析与响应，显著提升企业主动防御能力，高效保障业务运营安全性。

报告提纲目录

1、扩展检测与响应概述

2、XDR技术架构

XDR技术要求

XDR技术框架

XDR关键技术

XDR技术成熟度模型    

XDR应用场景

3、XDR建设的挑战与建议

XDR建设的挑战    

选择XDR解决方案        

XDR平台基本建设流程

4、行业应用实践

某医疗系统XDR应用案例   

某大型国企XDR应用案例   

某公共事业单位XDR应用案例   

某科技公司XDR应用案例   

某政府XDR方案应用案例   

某车企XDR平台应用案例   

某地产集团XDR应用案例   

某银行系统XDR建设案例   

某大型企业XDR建设案例   

5、XDR技术发展趋势

6、行业代表性厂商介绍

亚信安全

奇安信    

深信服    

极盾科技

日志易