扩展检测和响应 (XDR：Extended Detection and Response) 解决方案旨在帮助组织整合分布式安全技术，更有效地识别和响应活动的威胁。虽然 XDR 是一种新的技术概念，但其构建基础是端点检测和响应 (EDR：Endpoint Detection and Response) 系统，后者旨在持续监控系统活动，识别危险行为，检测攻击要素，以进行调查和响应。但问题在于，在当前的威胁环境中，许多 EDR 解决方案以及相关的同类 XDR 解决方案，仍不足以支撑企业进行自动调查、快速控制和更广泛的响应。

传统甚至所谓的下一代 AV 技术的即时（易出错）安全性，新兴端点检测和响应工具有效但却耗时，为了弥补两者之间的差距，FortiEDR 应运而生。我们的愿景是打造一个基于行为的端点保护、检测、调查和响应系统，该系统不仅能够（准确地）拦截执行前和执行后的大部分攻击（预防和保护双管齐下），而且更重要的是，还会随着时间的推移对可疑行为持续进行评估和分类，同时实现整个流程的自动化。我们充分利用这些原则并将其延伸到了 XDR，着力强化“调查”这一中间环节，而大多数 XDR 解决方案都将该问题推给了安全团队。正因如此，我们才将云原生调查和修复技术运用到了整个 Fortinet Security Fabric 架构或其他第三方工具中。

考虑到大多数现代攻击的速度，自动化在提供有效检测、调查和响应服务方面发挥着至关重要的作用。为了加速和完善自动化过程，我们将目光转向人工智能，目的是自动执行通常由专业 SOC 分析师完成的调查过程，该过程不仅需要高度专业化的技能/工具/流程，而且通常在制定有效的活动威胁响应策略时最为耗时。最终，我们为 FortiEDR 解决方案锁定了一种深度学习技术（一种获得专利的决策控制流程引擎），使用了五个独立但集成的深度神经网络模型，每个模型均可模拟调查和响应过程中的不同方面。

第 1 层获取可疑的端点行为和日志文件，以及调查所需的相关要素。

第 2 层表示提供额外补充信息的调查微服务。

第 3 层结合调查结果为事件生成分类信息。

第 4 层识别及减缓停止攻击与修复工作所需的所有攻击要素。

第 5 层将事件分类和修复要素相结合，打造出一款精心编排的解决方案，从而将端点恢复至安全运营状态。

在 FortiEDR 大获成功之后，我们顺理成章地扩展了这一云原生调查框架，查找端点以外的异常行为，从而在整个 Fortinet Security Fabric 中实现检测和响应自动化。为此，我们扩大了深度学习引擎的训练范围，使其能够进行更多样化的调查并协调各种编排的响应措施。