從XDR看綠盟智慧安全運營平臺（ISOP）的“勢、道、術”

XDR（可擴充套件威脅檢測與響應）近些年來一直是網路安全領域的技術熱詞，作為 Gartner 在2020年《Top Security and Risk Management Trends》報告中提到第一項技術和解決方案，XDR因為自動化程度高、檢測能力多樣等特點受到行業廣泛關注。

XDR是什麼？

ESG將XDR定義為跨混合IT架構安全產品的整合套件，負責威脅預防、檢測和響應等多個安全要素之間的協調和互操作。換句話說，XDR可以把控制點、安全檢測、分析與操作整合到統一的管理系統中。

綠盟智慧安全運營平臺（ISOP）融合XDR的能力，利用人工智慧（AI）進行事件調查響應，以整合、開放的架構設計簡化了安全防護工作，透過低成本的安全編排與響應能力降低安全運營複雜性、加快檢測速度，協調各個安全元件響應跨整改組織的威脅攻擊，在專有介面中提供全面的可視性，從根本上減少威脅駐留時間和人工操作，幫助企業抵禦攻擊。

1. 提供豐富的“跨堆疊”可見性以及從多個異構資料來源無縫獲取安全要素的能力

綠盟智慧安全運營平臺（ISOP）可以使使用者從任何技術產品或平臺實時無縫提取各類安全資料，打破資料孤島並清除關鍵盲點，並從視覺化皮膚中檢視來自各個產品或平臺實時收集的資料情況，包括端點、網路裝置和各類安全裝置等，可以幫助分析人員從不同型別資料中將安全要素資訊聚合到單個攻擊“事件”中獲得洞察力，還可以為客戶提供“中央執行和分析層點”式展示，以實現完整的企業可見性和自主預防、檢測和響應，以幫助組織從統一的角度應對網路安全挑戰。

2. 提供基於ATT&CK鏈式威脅檢測，透過整合的威脅情報自動豐富威脅面

綠盟智慧安全運營平臺（ISOP）藉助端點資料採集，按照場景化檢測，明確當前所處的攻擊活動階段，並採用智慧決策推理，實現向上推理，完成ATT&CK知識和攻擊模式對映，指導安全人員發現安全問題。

綠盟智慧安全運營平臺（ISOP）整合了綠盟威脅情報NTI，用於檢測和豐富威脅語境，可以幫助安全團隊獲得關於攻擊IOC的額外上下文風險資訊，如攻擊IP、漏洞、MD5、URL等各類安全情報資訊。使用者也可以利用雲端的NTI情報自行搜尋查詢，獲取新的IOC和戰術、技術等資訊。

3. 透過開放靈活的SOAR能力，有效應對各類安全場景事件閉環保障

綠盟智慧安全運營平臺（ISOP）的SOAR能力強調快速響應和解放人力，傳統的安全事件分析響應將近3小時左右，透過SOAR 能力3分鐘即可完成封堵和通報等響應任務。系統內建了主流運營場景的案例集，對於經驗反饋可以固化事件處理流程，可以進行據本化自動化處置響應。針對各類應急事件，實現自動化封堵，自動化完成檢測、通報、處置，保障事件快速響應。

XDR重點關注威脅檢測和響應，透過它可以打破壁壘，將安全產品天然融合在一起，產生1+1>2的效果。綠盟智慧安全運營平臺（ISOP）的XDR能力不僅侷限於上述3項場景能力，還包括攻擊鏈可視、上下文關聯分析、威脅狩獵、追蹤溯源、實現跨不同域自動化響應等。在提升安全運營的效率，增強檢測和響應能力的同時，綠盟智慧安全運營平臺（ISOP）的XDR能力還能降低安全運營的複雜度，減少安全運營的對接成本和使用成本，透過整合安全產品開箱即用的方式實現安全能力的統一協調與配合。