在上篇《聊聊XDR》一文中，我们谈到了XDR的定义、优势，为什么需要XDR，以及最终落地的挑战等等，在文章的最后也提到了目前正在提供XDR解决方案的一些厂商，今天我们就来详细看看。

XDR的厂商本身会拥有相关的安全研究团队，本文选取了几个具有代表性的厂商，针对其解决方案做了一些介绍，包括Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、Sophos、 FireEye 和Symantec等。

Cisco

思科的XDR解决方案Cisco SecureX是一款云原生内置平台，它能将 Cisco Secure 产品组合与客户基础设施紧密相连。它以集成、开放的设计简化了安全防护工作，在单一界面中提供全面的可视性，并通过自动化工作流最大程度提高运维效率。从根本上减少威胁驻留时间和人工操作，帮助企业抵御攻击。

Cisco SecureX的功能包括：

• 通过跨产品集成提供简化的体验。
• 通过跨产品分析提供统一的可视性。
• 通过事件响应能力提高运营效率。

Cisco SecureX提供了更好的技术集成和更广泛的使用案例。SecureX跨电子邮件、端点、服务器、云工作负载和网络收集并关联数据，从而实现对高级威胁的可见性。然后对威胁进行分析、排序、追踪和修复，以防止数据丢失和安全漏洞。

Fortinet

Fortinet的XDR解决方案 FortiXDR是首款利用人工智能 (AI) 进行事件调查响应的解决方案，旨在降低复杂性、加快检测速度，并协调响应跨整个组织的网络攻击。FortiXDR 可以完全自动化完成通常由经验丰富的安全分析人员处理的安全运营流程，因而能够跨广泛的攻击面更快速地缓解威胁。

FortiXDR 的主要优势包括：

• 显著减少了产品警报的数量，平均减少 77% 或更多。
• 只需几秒钟即可处理专家使用专业工具花费 30 分钟或更长时间才能完成的复杂任务，且不会出现人为错误。
• 支持独立安全产品的整合以及自动协调响应。
• 完全自动化智能事件调查，而不是依靠稀缺的人力资源。
• 减少检测和响应时间。

FortiXDR是一款利用了人工智能技术来替代手工调查的 XDR 解决方案，可帮助组织摆脱疲于应付的境地。FortiXDR 融入整个 Security Fabric 平台的协同，帮助任何企业紧跟当今不断加剧的威胁态势的发展，包括受团队规模和工具数量限制的组织。

Cynet

Cynet是一家从事EDR的以色列公司，同时也具备XDR方案，其XDR的方案叫做自动化泄露保护平台，可提供NGAV，EDR，UEBA，网络流量分析，发现和消除威胁，并具有自动修复功能，使用传感器融合技术可连续收集和分析、监控端点，有助于做出快速而有效的决策。

Cynet XDR的功能包括：

• Cynet 360可以检测并预防基于网络的攻击。
• 能够通过植入伪造的密码、数据文件、配置和网络连接来揭露攻击者的存在。
• 在监视和控制方面，Cynet 提供了资产管理和漏洞评估等功能。
• 在响应编排方面，Cynet 可以对文件、用户、主机和网络执行手动和自动的补救措施。

Cynet平台通过自动化监视与控制、攻击预防与检测以及响应编排来保护企业网络。它是唯一一个集成了NGAV，EDR，网络分析，UBA和Deception功能的平台。

Palo Alto Networks

Palo Alto Networks的Cortex XDR是行业基于 AI 的开放式集成连续安全平台。通过与丰富的网络、端点和云数据原生关联，Cortex XDR 使用机器学习和分析改进安全运营的每个阶段。

Palo Alto Networks Cortex的功能包括：

• 借助对端点安全、检测和响应以及下一代防火墙的紧密集成，Cortex XDR提供了强大的安全性。
• 提供了基于AI的分析，能够检测到隐形威胁。
• 能够快速了解发出安全警报的事件的根本原因和时间线。将情境应用于网络、端点和云活动，从而简化复杂分析，减少警报疲劳并加快调查速度。
• 提供了托管检测和响应服务。

Cortex 是一款基于AI的开放式和集成式持续安全平台，能够大大提高调查速度，并大量减少警报数量。

Sophos

Sophos提供完全同步的云原生数据安全，它具备端点保护、托管服务、下一代防火墙以及公有云可见性和威胁响应等多种解决方案。它适用于基于云的工作负载，可以解决最严峻的网络安全挑战。

Sophos Intercept X Endpoint的功能包括：

• 基于AI驱动的深度学习恶意软件检测。
• 可以在单个控制台中为所有设备提供云原生保护。
• 在管理威胁响应方面，能够提供24 * 7的威胁搜索、检测和响应服务。
• 提供Cloud Optix作为公有云可见性和威胁响应平台，弥补了云安全隐患。

Sophos Intercept X Endpoint是集成了AI、反勒索软件、EDR & MDR以及漏洞利用防御的解决方案。

McAfee

McAfee MVisionXDR 是一个基于SaaS的平台，可减少设备到云之间的网络风险，通过减少响应周期来快速提高SOC效率，同时节省多达95％的威胁评估成本。MVISION XDR是唯一涵盖攻击前后整个攻击生命周期的XDR。

McAfee MVisionXDR的功能包括：

• 具有作为服务交付的托管检测和响应解决方案。
• McAfee MDR提供24 * 7的警报监控、托管威胁搜寻和高级调查。
• MVISION云容器安全是具有容器优化策略的统一云安全平台。

McAfee MVision提供了低维护成本的云解决方案。它可以保护数据并阻止跨网络、设备、本地环境和云（IaaS、PaaS和SaaS）的威胁。

Microsoft

Microsoft Defender高级威胁防护（ATP）是一个完整的端点安全解决方案，它具有预防保护、入侵检测、自动调查和响应的功能。它是一种无代理且基于云的解决方案，因此不需要任何其他部署或基础设施。

Microsoft Defender ATP的功能包括：

• 该解决方案可实时发现漏洞和错误配置。
• 提供专家级的威胁监测和分析。
• 支持在独特的环境中识别关键威胁。
• 它具有自动调查警报并快速修复复杂威胁的功能。
• 它可以阻止复杂的威胁和恶意软件。

Microsoft Defender高级威胁防护（ATP）提供了从警报到修复的自动安全保护。它可以发现、确定优先级并修复漏洞和错误配置。

Symantec

Symantec ICDx战略安全平台集中了平台的接口和生态系统，并提供了一个事件和API网关来集成内部和外部应用程序。本质上，ICDx的目的是提供单点集成。

Symantec ICDx的功能包括：

• 内置的ICDx收集器收集日志信息，能够在不同的控制点上一致地标记用户名、IP地址等信息。
• 智能转发，管理员可以定义发送到不同目的地的日志事件。例如，威胁信息可能会发送到SIEM，而日志信息可能会转发到数据湖。同时，所有日志都可以发送到一个集中点存档。
• 具备自动化的响应措施。
• 能够利用威胁情报丰富数据，然后将其提供给SOC。
• 可以与第三方集成，提供多厂商产品的互操作性。

Symantec ICDx是XDR的集成，可以将来自多个控制点的遥测流添加到统一的事件检测和响应平台中，XDR建立在EDR平台的基础上。

趋势科技

趋势科技XDR根据收集自身相关产品的相关安全事件，包括云工作负载、终端、邮件、网络的信息，收集到数据湖中，在此之上进行自动化的检测、威胁狩猎、根本原因分析等，可以将这些结果数据对接给SIEM或者SOAR，同时也可以搭配相关的安全服务以便于此种类型的产品体系的良好运营。

趋势科技XDR的功能包括：

• 脱离单个视角，能够进行关联的检测和集成的调查和响应。
• XDR将分析的结果报警发送给SIEM，如果SIEM对这种高可信度的报警需要进一步的分析，需要在XDR的分析界面进一步调查，并采取相关动作。
• 同时可以利用趋势科技的威胁情报资源对XDR进行赋能。很多的检测技术是参照ATT&CK的攻击战术和技术来进行检测技术的提升和覆盖。

趋势科技XDR 能够搜集多个媒介信息，包括电邮、用户端、服务器、云端工作负载及网络。XDR 提供SIEM 连接器以转发警报，能够有效提高警报质量，减少无用警报，轻松识别威胁并进行有效遏制。

FireEye

FireEye提供可管理的检测和响应服务，采取明确的措施来防止事件发生并减少漏洞带来的影响。FireEye提供了针对端点安全、网络安全和取证、电子邮件安全等的解决方案。

FireEye XDR的功能包括：

• FireEye可提供修复建议，能够加快响应速度。
• 可以实时了解组织内部和外部的威胁。
• 可以识别威胁的严重程度并确定优先级。
• 能够执行全面主动的搜索，有助于发现威胁，减少检测间隙的风险。

FireEye会进行彻底的调查和事件范围界定，并确保响应工作，可以补救并减少攻击者返回的可能性。

Fidelis Cybersecurity

Fidelis Cybersecurity的XDR平台Fidelis Elevate XDR提供自动威胁检测、搜寻和响应服务，可以执行网络流量分析、DLP、端点检测和响应等，可在各种用例中使用，能够主动调查未知威胁。Fidelis MDR将提供24 * 7的威胁检测和响应，包含威胁研究和分析服务，可以部署在本地或云中。

Fidelis Elevate XDR的功能包括：

• 可以跨所有端口和协议执行网络和云流量分析。
• 具有资产分类、威胁检测和响应以及数据丢失防护的功能。
• 其端点检测和响应服务将通过深度取证加速和自动化调查。

Fidelis Cybersecurity提供了先进的端点检测和响应服务，企业可以深入了解端点活动，在Windows，Mac和Linux系统上都可以使用。

未来智安

未来智安成立于2020年，专注于网络攻击检测和响应，为客户提供精准全面的网络安全检测、高效自动化的威胁运营能力和产品方案。未来智安自称是国内首个发布 XDR平台的公司。

未来智安XDR的功能包括：

• 通过多元异构数据治理接入自有或第三方的NDR、EDR、CWPP等数据、基于安全数据关联分析建模、威胁狩猎、攻击事件挖掘形成完整的攻击事件，实现有效降低告警量。
• 利用安全自动化编排能力SOAR和统一的作战指挥室进行威胁运营和响应处置。
• 在实际落地中，利用客户已有的或公司提供的NDR或EDR数据保护客户的安全投资。

未来智安XDR平台致力于打造一个可扩展的开放式安全平台，可连接生态中的安全组件数据，通过可插拔的能力模块和技术，实现网络、终端、云和应用安全的统一可视威胁发现，自动化分析溯源，统一作战指挥和SOAR协同响应处置，为客户提供网络安全攻击检测与响应解决方案。

亚信安全

亚信安全XDR全景解决方案的核心理念是“威胁可感知、安全可运维”，以在网络安全碎片化时代，实现各终端数据的联动分析，解决终端数据孤岛问题。

亚信安XDR全景包括了终端检测及响应EDR、网络检测及响应NDR，高级威胁情报平台TIP等专业的调查工具，应对各类高级威胁的标准化预案工作手册，以及由安全响应专家团队组成的托管检测及响应MDR。

亚信安XDR的优势包括：

• 云、管、端全方位的安全威胁感知与可视。呈现网络中需要关注的安全风险。
• 摆脱日志DOS，降低人力成本。
• 缩短应急响应时间，提高运维效率。
• 基于本地威胁情报构建安全免疫机制，共享威胁情报，全面提升网路安全防御能力。
• 在威胁治理中，XDR做到安全运维的：”全“ 云管端邮， 全方位安全感知；”准“ 沙盒溯源， 根因分析定位准；”快“ 精密联动， 一站运维效率快。

亚信安全XDR系列产品覆盖云、管、端，包括邮件，能够有效帮助用户构建立体防御体系。

目前，国内XDR还处于早期探索阶段，仅有少数安全厂商发布了基于XDR的应用。整体来看，XDR虽然是一个将多个安全产品整合到一起的解决方案，是未来安全运营的一种思路，但是能不能最大化地发挥其效果，还是要结合企业自身的实际情况来看。

参考：
1、https://www.cynet.com/xdr-security/top-xdr-security-solutions/
2、https://www.softwaretestinghelp.com/xdr-security-solutions/
3、https://36kr.com/p/1111369284560898