趋势XDR掌握端点、邮件、网路与云环境扩大威胁侦测与反应

去年10月，趋势发表新一代端点侦测与反应系统（EDR）Apex One，今年4月已经在台上市，到了8月初，他们宣布推出涵盖层面更为广泛的资安侦测与反应系统XDR，相隔一週后，于该公司的2019年度资安大会（Cloudsec企业资安高峰论坛），正式在台亮相。

基本上，XDR是一套採用SaaS模式供应的云端安全服务，可提供自动化侦测、入侵指标的清理（IOC Sweeping）、威胁猎捕，以及根本原因分析。

若需要更进阶、完整的代管，趋势科技也提供另一项服务，称为Managed XDR，当中将结合趋势科技内部成立的威胁专家服务，替用户提供全天候的完整威胁分析、因应计画，以及矫正这些高风险状况的建议。

相较于市面上的端点侦测与反应解决系统，或是代管式侦测与反应服务（MDR），趋势所发展的XDR，最大的特色，是能够同时横跨更多种环境，像是电子邮件、网路、端点装置、伺服器、云端工作负载，进行资安防护资讯的整合，涵盖到更多重大威胁的面向，从而提供更完全的威胁侦测与反应能力，让企业能够尽早掌握整体资安风险的态势。

在运作的方式上，这套服务可将原本各自独立的资安系统收集的微小事件，当中包含自身侦测、遥测、处理的资料，以及关于网路的诠释资料（metadata），而且是针对不同防护层面的事件资讯，予以自动串连、交互关联，因此，能够突破人力处理无法负荷的局限，快速因应每日接收到的大量可疑活动警示，以及横跨不同系统彙整事件资料的複杂作业，进而侦测到一些企业过去未能察觉的精密攻击。

除此之外，XDR也能结合趋势科技长期发展的全球威胁情报平台，为事件资料的周边增添进阶的关联性与脉络，并搭配该公司资安专家对于最优先处理的威胁制定的特殊侦测规则，来强化整体环境的资讯安全防护。

值得注意的是，趋势这套资安云端服务之所以如此命名为XDR，是因为所要收集与分析的资料来源，并不仅限于上述5种系统，也包括安全事件资讯管理系统（SIEM）、使用者与实体行为分析系统（UEBA），以及各种能够用来观察主机、网路、讯息传送活动的资料，广泛纳入各种数据，以便XDR能够综观全局。

若能充分获取与处理这些资料，其实对于XDR能否找出隐藏的威胁而言，至关重要，因为这能促使威胁的判断变得更为精确，尽快产生可靠的侦测结果，以及清晰的恶意活动脉络。而在具备这样的事件集中处理能力之后，企业对于资安态势，就可以有统一的事实认定，也能在面对各种资安警示时，採用共通、标準化的资料纲要（schema），促进资安团队成员对于这些状况的理解与沟通。

而目前XDR在威胁侦测相关的资讯统合上，也採用资安业界现在热烈关注的Mitre ATT&CK框架，作为共通的入侵手法描述语言，并且以此为所收集到的各种资料进行加值，并套用到XDR的侦测记录、遥测数据、Triage Workbench的攻击事件摘要、实体层级执行轮廓的摘要、缓解建议的摘要、敌方的侦测模式，以及攻击的战略、技术和流程。

在各种资安系统的整合运用上，XDR也能将本身提供的专家分析能力，套用到趋势科技的企业级资安解决方案上，让两边的数据可以相互存取、套用，加快资料串连的速度 ，而能及早识别与阻挡攻击活动。举例来说，趋势科技本身在2019年就运用了这种方法，而能发现大量採用横向移动手法的攻击行为，就算对方以此躲过了端点防护的检测，终究还是在XDR集中、全方位的透视分析之下，具现出可疑的行径与轨迹。

产品资讯

趋势Trend Micro XDR
●原厂：趋势科技
●建议售价：厂商未提供
●可提供保护的IT环境範围：端点电脑、伺服器、网路、电子邮件、云端服务
●整合的趋势资安产品：Deep Discovery Inspctor、Cloud App Security、Apex One、Deep Security
●支援的威胁情资交换格式：STIX/TAXII
●支援的威胁入侵手法共通描述标準：Mitre ATT&CK
●支援的自动化安全控制语言：OASIS OpenC2

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】