擴展檢測和響應 (XDR:Extended Detection and Response) 解決方案旨在幫助組織整合分布式安全技術,更有效地識別和響應活動的威脅。雖然 XDR 是一種新的技術概念,但其構建基礎是端點檢測和響應 (EDR:Endpoint Detection and Response) 系統,后者旨在持續監控系統活動,識別危險行為,檢測攻擊要素,以進行調查和響應。但問題在于,在當前的威脅環境中,許多 EDR 解決方案以及相關的同類 XDR 解決方案,仍不足以支撐企業進行自動調查、快速控制和更廣泛的響應。
傳統甚至所謂的下一代 AV 技術的即時(易出錯)安全性,新興端點檢測和響應工具有效但卻耗時,為了彌補兩者之間的差距,FortiEDR 應運而生。我們的愿景是打造一個基于行為的端點保護、檢測、調查和響應系統,該系統不僅能夠(準確地)攔截執行前和執行后的大部分攻擊(預防和保護雙管齊下),而且更重要的是,還會隨著時間的推移對可疑行為持續進行評估和分類,同時實現整個流程的自動化。我們充分利用這些原則并將其延伸到了 XDR,著力強化“調查”這一中間環節,而大多數 XDR 解決方案都將該問題推給了安全團隊。正因如此,我們才將云原生調查和修復技術運用到了整個 Fortinet Security Fabric 架構或其他第三方工具中。
考慮到大多數現代攻擊的速度,自動化在提供有效檢測、調查和響應服務方面發揮著至關重要的作用。為了加速和完善自動化過程,我們將目光轉向人工智能,目的是自動執行通常由專業 SOC 分析師完成的調查過程,該過程不僅需要高度專業化的技能/工具/流程,而且通常在制定有效的活動威脅響應策略時最為耗時。最終,我們為 FortiEDR 解決方案鎖定了一種深度學習技術(一種獲得專利的決策控制流程引擎),使用了五個獨立但集成的深度神經網絡模型,每個模型均可模擬調查和響應過程中的不同方面。
第 1 層獲取可疑的端點行為和日志文件,以及調查所需的相關要素。
第 2 層表示提供額外補充信息的調查微服務。
第 3 層結合調查結果為事件生成分類信息。
第 4 層識別及減緩停止攻擊與修復工作所需的所有攻擊要素。
第 5 層將事件分類和修復要素相結合,打造出一款精心編排的解決方案,從而將端點恢復至安全運營狀態。
在 FortiEDR 大獲成功之后,我們順理成章地擴展了這一云原生調查框架,查找端點以外的異常行為,從而在整個 Fortinet Security Fabric 中實現檢測和響應自動化。為此,我們擴大了深度學習引擎的訓練范圍,使其能夠進行更多樣化的調查并協調各種編排的響應措施。
)
