“現網簡單堆砌各類的流量監測和終端檢測設備，多(duō)方設備單打獨鬥，以往基于SIEM、SOC等技(jì)術(shù)手段和方案，并投入大量人力與成本，依然存在高(gāo)價值告警難以精準定位、響應處置效率低(dī)下(xià)等問題……”

這是用戶在實戰攻防演練前，常常表達的擔憂。

如何将傳統設備單打獨鬥的模式，轉變成真正有效的多(duō)方設備協同作戰的模式？深信服XDR的多(duō)源數據融合分析能(néng)力，精準定位高(gāo)價值事(shì)件(jiàn)，提升研判效率，給用戶交上(shàng)了一(yī)份簡單有效的答卷。

在今年(nián)的實戰攻防演練期間，某國(guó)家單位依托深信服XDR作為(wèi)總值守平台，通(tōng)過多(duō)源數據融合分析，發現5起高(gāo)價值事(shì)件(jiàn)，研判效率提升65%。

首先，我們要理解，什麽是Open XDR？

基于以AI為(wèi)内核的「開(kāi)放(fàng)平台+領先組件(jiàn)+雲端服務」理念，深信服提出了「Open XDR」的概念：一(yī)種基于XDR平台的開(kāi)放(fàng)融合解決方案，用于滿足三方安全設備數據接入的通(tōng)用能(néng)力。

對于已經建設安全運營中心的用戶來說，基于Open XDR能(néng)力，深信服XDR平台也可以成為(wèi)其聚焦威脅運營、提升檢測效果的子平台。

在數據采集層面，XDR可與第三方設備數據和自(zì)有設備數據進行融合分析。

将碎片化的安全設備日志(zhì)進行有效融合分析，需要經過數據治理與關聯分析兩道關鍵步驟。

然而，因技(jì)術(shù)手段有限，多(duō)源數據治理，存在數據質量差、建設周期長(cháng)、建設成本高(gāo)等業(yè)界難題，深信服XDR又(yòu)是如何力排萬難的呢(ne)？

深信服XDR創新采用XStream技(jì)術(shù)，通(tōng)過整合多(duō)種AI技(jì)術(shù)，實現三方設備自(zì)動化接入，大幅提升多(duō)源數據接入的效率，包含自(zì)動接入引擎、威脅類型自(zì)動理解引擎、智能(néng)校驗引擎。

1.AI自(zì)動接入解析

根據接入的第三方數據動态生(shēng)成對應的自(zì)動解析規則，分為(wèi)采集過濾、識别匹配、規則生(shēng)成等主要流程，接入設備可快速學習适配、快速驗證接入效果。

2.深度理解威脅類型

在實時解析的過程中，将未見(jiàn)過的三方日志(zhì)規則類型發送到(dào) AI模型做此類規則的深度理解，将規則對應的威脅類型寫入緩存中，當遇上(shàng)同類規則時，即可準确理解其對應的威脅類型，由此提升告警研判效率，快速挖掘高(gāo)價值告警。

3.智能(néng)校驗載荷

對安全日志(zhì)進行payload二次檢測，輸出二次檢測後的安全日志(zhì)，可增強對原始三方日志(zhì)的檢測能(néng)力，糾正威脅等級。

依托XStream技(jì)術(shù)完成多(duō)源數據治理後，數據将流轉到(dào)二級告警聚合引擎，結合關鍵的網端關聯能(néng)力，XDR平台由此生(shēng)成精準的攻擊結果。

1.強關聯

當網端兩側檢測到(dào)了同一(yī)個(gè)命令執行、可疑文件(jiàn)行為(wèi)或網絡請求，可以通(tōng)過命令、文件(jiàn)、攻擊類型因子進行準确匹配。

2.邏輯關聯

當攻擊階段存在攻防場景相(xiàng)關性，通(tōng)過網絡側攻擊階段的關聯，可以判斷終端側的可疑命令執行。

3.弱關聯

通(tōng)過推測還(hái)原事(shì)件(jiàn)輪廓，跨階段關聯不同設備的告警，可以一(yī)定程度上(shàng)解決斷鏈難題。

需要強調的是，多(duō)源數據融合分析的核心在于數據質量。

在高(gāo)質量的數據的基礎之上(shàng)，結合XStream、網端關聯分析能(néng)力，深信服XDR才能(néng)保障威脅檢測分析的效果與效率。

因此，深信服XDR将數據質量分為(wèi)三個(gè)層級，實現三方組件(jiàn)采集數據能(néng)力和質量的可視化，幫助用戶衡量價值和效果。

針對不同第三方設備的數據，深信服XDR可展現不同安全效果所需的關鍵字段，以便衡量各類三方數據的質量。

總之，基于以AI為(wèi)内核的「開(kāi)放(fàng)平台+領先組件(jiàn)+雲端服務」，深信服XDR平台通(tōng)過自(zì)有和第三方的流量采集與端點采集組件(jiàn)，将多(duō)源數據聚合分析，準确生(shēng)成安全事(shì)件(jiàn)并自(zì)動回溯完整攻擊鏈，結合安全GPT等AI技(jì)術(shù)賦能(néng)，實現「秒(miǎo)級閉環，百倍提效，千萬級降本」的效率和能(néng)力躍升，構建安全運營的全新範式，助力每一(yī)位用戶「安全領先一(yī)步」。