讲到XDR的价值，最直接就是两个：一个就是能够提高安全运营的效率和价值，增强检测和响应的能力，可以通过集成多种安全产品并统一进行安全理解；另一个就是降低安全运营的复杂度。一个统一的解决方案，可以统一在一个产品界面进行安全问题的解决，而不需要每个产品进行单独的对接调整，降低了安全运营的对接成本和使用成本。

 

讲到这个价值，自然而然就会想到SIEM这种类型的产品，他们之间的区别又是什么？XDR跟SIEM最大的区别在于集成模式的部署上以及目的上。XDR可能自带一个统一界面以供直接集成相关的安全产品，而SIEM更多的需要一些单点的产品与其进行定制的对接。XDR更多的关注与威胁的检测和响应，而SIEM更多的在于报警的集中处理和存储以及合规的考虑。

 

XDR的厂商本身会拥有相关的安全研究团队，针对于每一种安全攻防技术和产品检测会有深入的研究。然后再集成相关的安全产品来解决这些安全问题，可以使用SaaS交付甚至可以使用云原生的架构。但是目前XDR的解决方案都是一个安全厂商整体提供的，一般来说都是有比较长的产品线的厂商，从中选取比较有安全运营价值的安全产品形成整体解决方案，包括Cisco、 Fortinet、 McAfee、Microsoft、 Palo Alto Networks、 Trend Micro、 Sophos、 FireEye 和Symantec等厂商。

 

对于每个厂商来说，要真正实现XDR解决方案所宣称的价值都是巨大的挑战。所以在客户自行进行对接时，比如使用SIEM来对接每个单点的安全产品，也会出现更大的问题，比如要协调沟通各个厂商。由于每个厂商并不熟悉其他厂商的产品，所以很难做相关的关联分析和联动。鉴于缺乏数据，对于数据缺乏理解，没有归一化，不同产品的数据库也不一致，这就很难打通不同厂商的不同产品，甚至打通一个厂商都有挑战，因此，建设一个有效的XDR解决方案还是比较困难的。

 

另外，对于企业来说，安全运营在以下两个方面始终面临着挑战：一是员工的招聘、培养和留存；另一个是安全运营体系的在威胁检测和响应上的高效。同时这两个问题交织在一起很难解决。

 

XDR的核心优势体现在三个层面：1. 改进保护、检测和响应的能力；2. 提高安全运营员工的效率；3. 降低获得有效检测和响应能力的总体拥有成本（TCO）。

 

在改进保护、检测和响应能力上，可以使用共享的威胁情报联动对每个安全组件进行检测，比如网络和终端的安全组件；也可以将一些低级别的告警合并形成一个高级别的事件；同时通过关联分析和自动化报警确认发现报警；对警告进行相关的分类分级。

 

在提高员工的生产率上，可以将大量的告警转换为少量需要人工调查处理的事件；提供所有安全组件的能力，让安全调查更加快捷方便；提供更多的响应方式，包括网络和终端等方面的；对于重复的工作可以做到自动化；可以减少对Tier 1人员的培训，只需要相关的工作流和管理流程；提供相对高质量的检测方法，并不需要太多的调整。

 

XDR解决方案本身的特质决定了这种产品的开箱即用的特性，所以客户一般只在乎是否能够实现实际价值，在交付中并不用考虑跟SIEM产品一样要对接各种各样的安全产品，然后还要考虑整体UseCase的设计以及关联分析的深度问题。

 

一般来说，安全市场都是在每个细分行业选择最好的安全产品，而不是选择这种方案型的套装。一个安全产品成熟了，市面上安全产品的领导者就会成为这个市场的定义者。安全行业发展到目前，基础架构的产品趋于成熟，一部分厂商已经拥有了相关的产品组合，所以集成这些安全产品变成了水到渠成的事情。同时利用大数据和机器学习又可以很好地提升安全能力。

 

在每个品类中采购最好的产品的思路会导致安全产品太多，但是很少有集成和联动。安全报警会过多，经常会无人值守，也没人经常性地去调整策略或者测试其有效性，升级一般也比较滞后。传统的企业的结合点在SIEM上，但是SIEM的优势在于收集日志，但是很少能改进检测的效率和真实性，也很少用到上下文分析和相关安全产品的关联分析。所以，对于企业来说，开发SIEM的Use Case以及深度和丰富的集成异构环境的产品是很难的事情。

 

XDR这类解决方案型产品就是应对这些挑战而出现的。XDR降低了对接各个厂商的成本，同时就可以开箱即用一些现成的安全事件剧本；也可以让一些务实的企业不用采购每个细分行业的最佳产品，而是直接打包一个产品来提高整体的安全运营效率。