实战驱动+多元联动：国舜带您深入了解XDR！

EDR

终端监测与响应

EDR是记录和存储端点系统级行为，通过使用多种数据分析技术检测可疑系统行为，提供关联信息，从而阻止恶意行为并为受影响的系统提供修复建议的一种解决方案。Gartner认为，EDR解决方案需要有以下四个关键能力：检测安全事件、遏制威胁、调查安全事件、提供修复指导。

NDR

网络威胁检测与响应

NDR一般认为是NAT（网络流量分析检测）的升级；拥有全方向的流量采集、监控和分析能力。能够建立网络行为模型并发现异常，不依赖于传统的签名指纹匹配技术，支持手动或自动的威胁及异常处置能力。

简单概括来说，EDR偏向终端侧，特点是检测的深但是覆盖面窄；而NDR偏向流量侧，特点是检测的浅但是覆盖面广。那什么是XDR？Show time!

XDR

扩展检测与响应

根据Gartner的定义，XDR是指特定供应商提供的威胁检测和事件响应工具，这种工具统一将多个安全产品整合在一起，Gartner认为XDR解决方案将“提高检测准确性，并提高安全运营效率和生产率”。

XDR结合了NDR和EDR的优点，拥有端点检测和网络检测能力，将检测到的原始事件信息进行自动化关联，最终将这些零散的攻击信息，关联分析成浓缩的威胁事件。

首创“采集、监测、响应、观察”方案模型，形成可感知、可处置、可观察的威胁治理闭环模型，EDR+NDR强强联合，能够深度集成多源、跨IT架构的所有安全组件，打通各项安全数据与事件，并配合人工智能等前沿分析技术实现关联分析与自动化响应。

当前高级威胁的发现越来越难以通过单一的安全能力来实现，孤岛式的安全能力建设模式通过在终端、网络、云工作负载等不同的网络位置独立部署安全产品来进行威胁检测，每个安全产品只能看到局部的有限数据，对全局的安全可见性不足存在盲区。

在企业的使用场景下，往往采购了不同厂商的安全设备，国舜XDR方案在落地过程中，兼顾与第三方厂商安全设备的数据采集分析和联动响应能力，具备可扩展的接口开放性，支持联动WAF、IDS、HIDS、EDR、NDR等安全防护组件，关联各层面安全数据，打破安全数据孤岛。

在过去的安全运营工作中，安全人员面对来源不同的海量告警日志，在不同的系统分析界面来回切换，花费大量时间在重复低效的工作中，告警分析研判工作压力极大。且面对日益升级的网络威胁，安全运营工作日益棘手，而安全运营人员需要较长时间的培训和经验积累才能胜任工作，这无疑是对安全运营工作效率和成本的挑战。

国舜XDR方案通过AI自动化引擎代替安全人员，实现自动化收集，融合终端、网络、设备数据。基于威胁场景通过人工智能技术，实现自动化分析研判、自动化误报识别，自动化定制处置方案，低漏报，低误报，能快速有效的处置威胁。同时通过SOAR编排技术，将安全运营专家在面对安全事件的处置方案与流程固化到系统中，削弱安全运营工作对人工团队的技术依赖性，降本增效。

在日常安全运营工作中，企业面对庞大的业务，网络拓扑往往没那么简单。安全设备产生的告警中的受害资产IP并非资产真实IP,一般为虚拟IP。安全专家需要花费大量时间根据虚拟IP一层层查找出最终对应的真实IP，才能进一步对受害资产采取后续的应急响应工作，这无疑大大的拖慢了MTTR的效率；

目前国舜XDR通过VIP管理模块自动分析出网络拓扑结构，同时通过溯源引擎将资产、网络、告警、情报四大因素进行关联，对完整的攻击事件进行回溯，让客户清楚的看到攻击者通过何种方式侵入内网，如何横向移动，形成完整的攻击路径拓扑视图。

为了满足不同客户的需求，推动国舜安全产品对国产化的支持，国舜XDR进行了持续的研发和国产化适配工作。

• 目前数据库已完成以下适配：达梦 、南大通、人大金仓、神舟通用；

• 操作系统适配银河麒麟，CPU目前已适配飞腾；

后续将持续进行国产化适配迭代工作。