安天可扩展威胁检测响应平台XDR_威胁检测响应感知系统

安天可扩展威胁检测响应平台XDR

安天可扩展威胁检测响应平台XDR以执行体等防御要素的细粒度采集与管控为基础，关注边界、流量、身份、终端、业务等场景下的异常行为。在全局视角下通过自动化上下文分析定位风险点，实现检测响应闭环，为用户的安全运营降本增效。通过安天可扩展威胁检测响应平台XDR可以有效统筹各类设备，构建统一的网络安全防御体系。

立即咨询

首页 > 产品中心 > 网络安全 > 安天可扩展威胁检测响应平台XDR

现状与挑战

工程化&组织化的攻击模式在信息化快速发展的同时，承载了高价值信息的系统显然成为了攻击者觊觎的目标，攻击者的攻击方式和手法也愈加工程化、组织化。

强针对性与目的性
由于地缘因素和经济利益，攻击组织攻击的针对性和目的性也愈发增强导致了以破坏、窃密、勒索等为目的进行的网络攻击的增多

混合攻击手法盛行
攻击者为了攻击的灵活性往往采用更加模块化和单元化的攻击工具和攻击资源因此可以更加轻易的采用多种技术手段进行组合攻击

长期潜伏瞬间爆发
攻击的持续性也在不断增加，攻击者在入侵后往往长期潜伏在信息系统中，基于特征检测或恶意行为检测很难发现而真正攻击作业的爆发时间极短，靠人工处置和防御难以有效应对

持续攻击成本低廉
而命令控制即服务(C2aaS)、恶意软件即服务(MaaS) 等攻击资源的基础设施化，也大幅降低了攻击成本在持续的针对性的攻击中攻击方只要有任意一次攻击成功，即可成功渗透进入信息系统

现状与挑战

作为防守方我们堆砌的设备可以对一些明显特征的攻击进行防范，但是攻击的迭代周期往往会明显短于检测和防御能力更新周期，而面对更加复杂的组合手段攻击，单一的防御设备无法有效拦截，由于攻击的暴露面往往较广，也造成了响应周期极长早期建设的很多平台等往往仅能汇总数据或者对其格式进行简单处理，导致了其对第三方数据源很难做到真正的全局统筹理解和分析，因此在面对复杂攻击时各种问题便一一暴露出来。

设备视角的局限性
单一设备囿于其所处位置和监测视角，仅能识别特定场景威胁；面对多场景组合的攻击方式以及长期潜伏的威胁无法有效发挥作用

设备间无法统筹分析
设备之间对信息的表述参差不齐，无法在全局视角有效地统筹分析

设备策略维护困难
环境的复杂化和设备增多导致了策略

维护成本的陡增

策略下发后不知道有没有产生效果

需要全局性的监控及响应 icon

以执行体等防御要素的细粒度采集与管控为基础，关注边界、流量、身份、终端、业务等场景下的异常行为。在全局视角下通过自动化上下文分析定位风险点，实现检测响应闭环，为用户的安全运营降本增效，通过安天可扩展威胁检测响应平台XDR可以有效统筹各类设备，构建统一的网络安全防御体系。

平台简介

安天可扩展威胁检测响应平台XDR（简称：安天 XDR）是安天基于多年威胁研究和对抗经验，面向重保、护网等威胁对抗及运营场景的威胁检测响应与安全管理平台。平台通过对多源异构数据进行采集，依靠可拓展的场景化关联分析组件和威胁情报，实现对网内威胁的智能发现、识别和关联溯源；帮助用户快速发现和梳理网内资产并持续监测全网资产及其环境的动态；对资产暴露面、网络攻击、恶意文件等各类安全威胁提供防御和响应策略，为用户提供高效易用的威胁持续检测和对抗能力。

适配场景

等保合规
需要通过等保2.0标准测试，已经购买了一些安全设备，但仍不满足等保2.0搭建 “一个中心，三重防护”要求的客户

日常安全运营
很多设备产生了大量检测信息、威胁事件、漏洞等，告警数量多且分散，日常安全运营工作开展没有依据

离散设备信息管理
组织内部部署了大量的网络设备、安全设备，来自不同的品牌和厂商，日志格式和内容不能完全统一，无法有效及时的存储，导致日志难于管理和理解

重保HVV
护网/重保时间紧、要求高、任务重，面向海量数据，风险点定位和对定位溯源要求和困难较高，对VPN等特定安全场景监控难，对核心目标防守难

取证调查和威胁分析
需要对攻击进行溯源和取证，对威胁事件的调查和分析缺少统一工具

资产清点与暴露面排查
网内资产众多，不清楚有那些资产，都是什么类型的，也不清楚资产变化和暴露面等信息

产品价值

范围更广的集中监控
以统一的平台连接各类安全设备、人和事件，让安全管理人员的工作变得更加简化和专注依赖于强大的数据平台架构支撑，多源异构设备日志全面采集分析能力平台可以帮助安全管理人员对IT设施进行更广泛的安全监控，从而清楚的发现哪里有攻击、哪里有可被利用的弱点、哪里有可被攻击的入口等

提升威胁发现与对抗能力
提供多种场景化的自动化分析溯源能力，能够为用户提供包括异常发现、私有情报维护体系用户可借助平台完成符合自身业务场景和安全建设特点的威胁持续监测管理，例如面向虚拟专用网(VPN)场景的检测和分析能力，能够更早地发现隐藏在各类日志中的安全问题，帮助企业或单位在安全管理上更为从容，也可以为快速的弥补安全问题提供宝贵的时间窗口，这在重保期间显得更加重要

更高质量的威胁事件告警
专注于发生威胁的对象，而不止是标识，通过融合和关联，大幅减轻安全管理人员的常规工作量平台利用分析决策引擎对不同设备检出的攻击事件进行多次归类和提炼，在对设备检测结果优化、修正的同时可大幅降低告警数量，实现平台比单个设备告警更准确、告警更少，比单个独立设备发现更多的隐蔽攻击.

安全态势监测及综合呈现
灵活可配置的图表和统计辅助用户快速洞察威胁全面展现用户网络的整体安全态势，展示外部安全威胁的攻击来源地、风险等级，帮助用户掌握外部威胁的趋势、主要攻击手段、内网资产威胁等；多维仪表盘可直接对关注的威胁事件进行快速定位、详细信息查询和图表分析，可对告警的事件进行不同维度的统计，包含日、周、月、年度告警趋势统计等。可快捷自定义的图表帮助用户知己知彼，快速洞察风险

安全大数据湖

数据接入的目的不仅仅是将数据进行简单的留存，仅仅汇总数据是不够的，更需要格式的标准和内容的规范，通过两者的结合，才能为数据赋予含义，推动数据到信息的转换而数据内容治理的成本高、短时间难以见效且需要持续的维护，所以市面上很多系统仅支持接入第三方设备数据但并未对第三方设备的内容进行规范，导致了数据分析时鸡同鸭讲应用困难。

安全大数据湖

安天XDR在数据接入的基础上对数据进行重构和组合，形成了可灵活拓展的数据和内容规范，构建了易拓展的可统筹第三方数据进行分析与关联的数据湖，解决数据难以应用的问题。

安全大数据湖

业务&数据

业务系统、API接口、关键业务节点、业务健壮性

身份&凭证

全局身份标识、主机账户标识、邮件账户标识、应用账户标识、外部身份标识等

网络&地形

系统连接点、路由连接点、服务连接点、外部连接点、通联过程

资产&系统

资产属性、配置与策略信息、日志和轨迹信息、接口和通道信息、端口和服务信息等

应用&执行体

可执行文件/脚本清单、软件清单、软件供应商清单、内部软件技术栈清单、执行器相关的重要向量清单

场景化威胁及异常检测 icon

虚拟专用网场景检测
虚拟专用网（VPN）是近几年网络攻击和攻防演练重点关注的安全点，平台提供对账号泄露、账号滥用、暴力破解、业务异常等细分场景的多类检测识别手段

流量威胁及异常场景检测
平台可以流量检测设备的基础上提供全局视角的流量检测能力，例如分布式扫描、可疑外联、高危证书检测、弱口令攻击、漏洞攻击等，强化在流量侧的识别能力

网站及业务系统场景检测
网站和业务系统的内容安全和数据安全尤为重要，平台具备对路径遍历/WEB漏洞攻击/路径穿越等风险的检测能力，且能够融合WEB扫描设备对网站安全全方位监控

办公PC场景检测
面向Windows等办公PC环境，提供了基于系统日志的威胁和异常检测能力，对内网穿透、渗透攻击、横向漏洞攻击等异常违规或安全威胁进行持续监控

服务器场景检测
面向Linux等服务器环境，提供了基于系统日志的威胁和异常检测能力，对异常命令执行和命令注入具备良好的检出能力

可灵活配置+++
平台具备良好的可拓展性，可通过配置或规则包导入的形式动态拓展新规则

内外情报统筹运营，赋能可演进的感知能力 icon

将威胁监测响应的知识和经验固化形成本地运营情报，其具有强针对性、高命中率、高客户价值的特点，平台可以对此类威胁进行持续性监控和检测平台亦支持接入私有运营情报/安天威胁情报平台/第三方情报平台，融合传统威胁情报的广度对网内发现的IP、域名、URL、文件等风险对象进行持续检测和监控，发现威胁并形成高置信/高风险告警，有效提升网空威胁感知能力。

多类安全风险统一告警 icon

设备上报的事件和分析模型输出的事件如果仍然零散的分散于多个模块内的话，在多个页面来回的切换显然会占用分析人员大量的时间和记忆成本，难以为分析人员提供快速的洞察，无法有效驱动威胁的监控和响应。通过安天XDR可以有效提取事件中涉及的对象识别其行为，通过决策模型形成统一告警通过上下文的自动循线调查和多渠道拓线分析，串接威胁活动链路，还原威胁全貌。

多类安全风险统一告警 icon

安天采用了基于对象和作用关系的统一风险描述形式，通过提取事件中涉及的对象，标识其攻击方/影响方等风险作用关系，对同类事件归类去冗余，实现对网络攻击、网站内容、用户行为等风险的统一呈现和关联在真实环境下可降低98%以上重复或相似告警分析模型发现事件安天通过数据标准预定义事件结构及依赖字段，分析模块可自由定义输出内容，只要满足基础依赖要求即可录入对应事件设备检出事件复验与分拣用户可以自行配置哪些风险类型进行告警、调整告警归并周期，也可以通过组合条件的白名单策略进行细粒度过滤。

多视角事件分析溯源

多视角事件分析，将网内事件按照类别从网络风险、高级威胁、网页风险、行为分析四大维度分别呈现安全监测结果，从而达成全面的检测与分析体系。