“现网简单堆砌各类的流量监测和终端检测设备，多(duō)方设备单打独斗，以往基于SIEM、SOC等技术手段和方案，并投入大量人力与成本，依然存在高价值告警难以精准定位、响应处置效率低下等问题……”

这是用(yòng)户在实战攻防演练前，常常表达的担忧。

如何将传统设备单打独斗的模式，转变成真正有(yǒu)效的多(duō)方设备协同作战的模式？深信服XDR的多(duō)源数据融合分(fēn)析能(néng)力，精准定位高价值事件，提升研判效率，给用(yòng)户交上了一份简单有(yǒu)效的答(dá)卷。

在今年的实战攻防演练期间，某國(guó)家单位依托深信服XDR作為(wèi)总值守平台，通过多(duō)源数据融合分(fēn)析，发现5起高价值事件，研判效率提升65%。

首先，我们要理(lǐ)解，什么是Open XDR？

基于以AI為(wèi)内核的「开放平台+领先组件+云端服務(wù)」理(lǐ)念，深信服提出了「Open XDR」的概念：一种基于XDR平台的开放融合解决方案，用(yòng)于满足三方安全设备数据接入的通用(yòng)能(néng)力。

对于已经建设安全运营中心的用(yòng)户来说，基于Open XDR能(néng)力，深信服XDR平台也可(kě)以成為(wèi)其聚焦威胁运营、提升检测效果的子平台。

在数据采集层面，XDR可(kě)与第三方设备数据和自有(yǒu)设备数据进行融合分(fēn)析。

将碎片化的安全设备日志(zhì)进行有(yǒu)效融合分(fēn)析，需要经过数据治理(lǐ)与关联分(fēn)析两道关键步骤。

然而，因技术手段有(yǒu)限，多(duō)源数据治理(lǐ)，存在数据质量差、建设周期長(cháng)、建设成本高等业界难题，深信服XDR又(yòu)是如何力排万难的呢(ne)？

深信服XDR创新(xīn)采用(yòng)XStream技术，通过整合多(duō)种AI技术，实现三方设备自动化接入，大幅提升多(duō)源数据接入的效率，包含自动接入引擎、威胁类型自动理(lǐ)解引擎、智能(néng)校验引擎。

1.AI自动接入解析

根据接入的第三方数据动态生成对应的自动解析规则，分(fēn)為(wèi)采集过滤、识别匹配、规则生成等主要流程，接入设备可(kě)快速學(xué)习适配、快速验证接入效果。

2.深度理(lǐ)解威胁类型

在实时解析的过程中，将未见过的三方日志(zhì)规则类型发送到 AI模型做此类规则的深度理(lǐ)解，将规则对应的威胁类型写入缓存中，当遇上同类规则时，即可(kě)准确理(lǐ)解其对应的威胁类型，由此提升告警研判效率，快速挖掘高价值告警。

3.智能(néng)校验载荷

对安全日志(zhì)进行payload二次检测，输出二次检测后的安全日志(zhì)，可(kě)增强对原始三方日志(zhì)的检测能(néng)力，纠正威胁等级。

依托XStream技术完成多(duō)源数据治理(lǐ)后，数据将流转到二级告警聚合引擎，结合关键的网端关联能(néng)力，XDR平台由此生成精准的攻击结果。

1.强关联

当网端两侧检测到了同一个命令执行、可(kě)疑文(wén)件行為(wèi)或网络请求，可(kě)以通过命令、文(wén)件、攻击类型因子进行准确匹配。

2.逻辑关联

当攻击阶段存在攻防场景相关性，通过网络侧攻击阶段的关联，可(kě)以判断终端侧的可(kě)疑命令执行。

3.弱关联

通过推测还原事件轮廓，跨阶段关联不同设备的告警，可(kě)以一定程度上解决断链难题。

需要强调的是，多(duō)源数据融合分(fēn)析的核心在于数据质量。

在高质量的数据的基础之上，结合XStream、网端关联分(fēn)析能(néng)力，深信服XDR才能(néng)保障威胁检测分(fēn)析的效果与效率。

因此，深信服XDR将数据质量分(fēn)為(wèi)三个层级，实现三方组件采集数据能(néng)力和质量的可(kě)视化，帮助用(yòng)户衡量价值和效果。

针对不同第三方设备的数据，深信服XDR可(kě)展现不同安全效果所需的关键字段，以便衡量各类三方数据的质量。

总之，基于以AI為(wèi)内核的「开放平台+领先组件+云端服務(wù)」，深信服XDR平台通过自有(yǒu)和第三方的流量采集与端点采集组件，将多(duō)源数据聚合分(fēn)析，准确生成安全事件并自动回溯完整攻击链，结合安全GPT等AI技术赋能(néng)，实现「秒(miǎo)级闭环，百倍提效，千万级降本」的效率和能(néng)力跃升，构建安全运营的全新(xīn)范式，助力每一位用(yòng)户「安全领先一步」。