“現(xiàn)網簡單堆砌各類的流量監(jiān)測和終端檢測設備，多方設備單打獨斗，以往基于SIEM、SOC等技術手段和方案，并投入大量人力與成本，依然存在高價值告警難以精準定位、響應處置效率低下等問題……”

這是用戶在實戰(zhàn)攻防演練前，常常表達的擔憂。

如何將傳統(tǒng)設備單打獨斗的模式，轉變成真正有效的多方設備協(xié)同作戰(zhàn)的模式？深信服XDR的多源數據融合分析能力，精準定位高價值事件，提升研判效率，給用戶交上了一份簡單有效的答卷。

在今年的實戰(zhàn)攻防演練期間，某國家單位依托深信服XDR作為總值守平臺，通過多源數據融合分析，發(fā)現(xiàn)5起高價值事件，研判效率提升65%。

首先，我們要理解，什么是Open XDR？

基于以AI為內核的「開放平臺+領先組件+云端服務」理念，深信服提出了「Open XDR」的概念：一種基于XDR平臺的開放融合解決方案，用于滿足三方安全設備數據接入的通用能力。

對于已經建設安全運營中心的用戶來說，基于Open XDR能力，深信服XDR平臺也可以成為其聚焦威脅運營、提升檢測效果的子平臺。

在數據采集層面，XDR可與第三方設備數據和自有設備數據進行融合分析。

將碎片化的安全設備日志進行有效融合分析，需要經過數據治理與關聯(lián)分析兩道關鍵步驟。

然而，因技術手段有限，多源數據治理，存在數據質量差、建設周期長、建設成本高等業(yè)界難題，深信服XDR又是如何力排萬難的呢？

深信服XDR創(chuàng)新采用XStream技術，通過整合多種AI技術，實現(xiàn)三方設備自動化接入，大幅提升多源數據接入的效率，包含自動接入引擎、威脅類型自動理解引擎、智能校驗引擎。

1.AI自動接入解析

根據接入的第三方數據動態(tài)生成對應的自動解析規(guī)則，分為采集過濾、識別匹配、規(guī)則生成等主要流程，接入設備可快速學習適配、快速驗證接入效果。

2.深度理解威脅類型

在實時解析的過程中，將未見過的三方日志規(guī)則類型發(fā)送到 AI模型做此類規(guī)則的深度理解，將規(guī)則對應的威脅類型寫入緩存中，當遇上同類規(guī)則時，即可準確理解其對應的威脅類型，由此提升告警研判效率，快速挖掘高價值告警。

3.智能校驗載荷

對安全日志進行payload二次檢測，輸出二次檢測后的安全日志，可增強對原始三方日志的檢測能力，糾正威脅等級。

依托XStream技術完成多源數據治理后，數據將流轉到二級告警聚合引擎，結合關鍵的網端關聯(lián)能力，XDR平臺由此生成精準的攻擊結果。

1.強關聯(lián)

當網端兩側檢測到了同一個命令執(zhí)行、可疑文件行為或網絡請求，可以通過命令、文件、攻擊類型因子進行準確匹配。

2.邏輯關聯(lián)

當攻擊階段存在攻防場景相關性，通過網絡側攻擊階段的關聯(lián)，可以判斷終端側的可疑命令執(zhí)行。

3.弱關聯(lián)

通過推測還原事件輪廓，跨階段關聯(lián)不同設備的告警，可以一定程度上解決斷鏈難題。

需要強調的是，多源數據融合分析的核心在于數據質量。

在高質量的數據的基礎之上，結合XStream、網端關聯(lián)分析能力，深信服XDR才能保障威脅檢測分析的效果與效率。

因此，深信服XDR將數據質量分為三個層級，實現(xiàn)三方組件采集數據能力和質量的可視化，幫助用戶衡量價值和效果。

針對不同第三方設備的數據，深信服XDR可展現(xiàn)不同安全效果所需的關鍵字段，以便衡量各類三方數據的質量。

總之，基于以AI為內核的「開放平臺+領先組件+云端服務」，深信服XDR平臺通過自有和第三方的流量采集與端點采集組件，將多源數據聚合分析，準確生成安全事件并自動回溯完整攻擊鏈，結合安全GPT等AI技術賦能，實現(xiàn)「秒級閉環(huán)，百倍提效，千萬級降本」的效率和能力躍升，構建安全運營的全新范式，助力每一位用戶「安全領先一步」。