扩展检测和响应 (XDR:Extended Detection and Response) 解决方案旨在帮助组织整合分布式安全技术,更有效地识别和响应活动的威胁。虽然 XDR 是一种新的技术概念,但其构建基础是端点检测和响应 (EDR:Endpoint Detection and Response) 系统,后者旨在持续监控系统活动,识别危险行为,检测攻击要素,以进行调查和响应。但问题在于,在当前的威胁环境中,许多 EDR 解决方案以及相关的同类 XDR 解决方案,仍不足以支撑企业进行自动调查、快速控制和更广泛的响应。
传统甚至所谓的下一代 AV 技术的即时(易出错)安全性,新兴端点检测和响应工具有效但却耗时,为了弥补两者之间的差距,FortiEDR 应运而生。我们的愿景是打造一个基于行为的端点保护、检测、调查和响应系统,该系统不仅能够(准确地)拦截执行前和执行后的大部分攻击(预防和保护双管齐下),而且更重要的是,还会随着时间的推移对可疑行为持续进行评估和分类,同时实现整个流程的自动化。我们充分利用这些原则并将其延伸到了 XDR,着力强化“调查”这一中间环节,而大多数 XDR 解决方案都将该问题推给了安全团队。正因如此,我们才将云原生调查和修复技术运用到了整个 Fortinet Security Fabric 架构或其他第三方工具中。
考虑到大多数现代攻击的速度,自动化在提供有效检测、调查和响应服务方面发挥着至关重要的作用。为了加速和完善自动化过程,我们将目光转向人工智能,目的是自动执行通常由专业 SOC 分析师完成的调查过程,该过程不仅需要高度专业化的技能/工具/流程,而且通常在制定有效的活动威胁响应策略时最为耗时。最终,我们为 FortiEDR 解决方案锁定了一种深度学习技术(一种获得专利的决策控制流程引擎),使用了五个独立但集成的深度神经网络模型,每个模型均可模拟调查和响应过程中的不同方面。
第 1 层获取可疑的端点行为和日志文件,以及调查所需的相关要素。
第 2 层表示提供额外补充信息的调查微服务。
第 3 层结合调查结果为事件生成分类信息。
第 4 层识别及减缓停止攻击与修复工作所需的所有攻击要素。
第 5 层将事件分类和修复要素相结合,打造出一款精心编排的解决方案,从而将端点恢复至安全运营状态。
在 FortiEDR 大获成功之后,我们顺理成章地扩展了这一云原生调查框架,查找端点以外的异常行为,从而在整个 Fortinet Security Fabric 中实现检测和响应自动化。为此,我们扩大了深度学习引擎的训练范围,使其能够进行更多样化的调查并协调各种编排的响应措施。