# openXDR
**Repository Path**: SteveRocket/openXDR
## Basic Information
- **Project Name**: openXDR
- **Description**: 网络安全体系化建设SCMDB、EDR、NDR、CAASM、AEMS、HoneyPot、SIEM、XDR、VAS、LAS、TIS、VDBS、SOAR、THS、DSAS、AISPM、WAF、WSM、SSAP、NSRT、SecTools、ASES、BSMPS、UEBA、TPFWS、CNAPP、PTS、IoT SOC、AISOC
http://www.mdrsec.com
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No
## Statistics
- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-04-03
- **Last Updated**: 2026-07-03
## Categories & Tags
**Categories**: Uncategorized
**Tags**: None
## README
# 扩展侦测与响应系统(XDR)
## 关于我们
- 官网:
http://www.mdrsec.com
我们的技术文章和产品概述欢迎浏览我们的门户。
- 公众号:CTO Plus
最新的动态欢迎关注我们官方唯一公众号。
- 作者QQ
更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。
- QQ群
我们官方组建的QQ群,如果您有兴趣也可以加入我们。
- 请喝咖啡
如果感兴趣,也可以请我喝杯咖啡
## 产品核心功能模块








在企业数字化深度渗透的今天,网络攻击已从单一入口、单一手法的“点状威胁”,演变为横跨终端、网络、云、身份、邮件等多维度的“链式攻击”。传统安全产品堆叠模式(EDR、NDR、SIEM、SOAR各自为政)带来的不仅是海量告警与高昂运维成本,更造成了“盲人摸象”式的响应盲区。
**扩展侦测与响应系统(XDR)** 并非简单的技术迭代,而是一次安全架构的重构。这里我给它的定义是:**打破数据孤岛,将多源遥测转化为统一、可行动、自动化的威胁防御能力。**
我们的扩展侦测与响应系统(XDR)的核心在于跨域(终端、网络、云、身份)的数据关联与自动化响应。它打破了传统安全产品的孤岛,通过原生集成或开放架构提供统一的威胁检测与响应能力。
接下来,我为大家介绍下我们自研的**扩展侦测与响应系统(XDR)** 核心功能与特性,以下简称为XDR
- 官网:http://www.mdrsec.com
- 产品文档:http://www.docs.mdrsec.com
- 系统演示环境:http://www.play.mdrsec.com
---
## XDR核心功能矩阵(五大能力支柱)
比如我们的XDR系统支持以下功能:
1. 跨域数据采集(传感器层)
- 终端检测与响应(EDR):采集终端进程、注册表、文件行为、内存信息,具备终端层面的威胁狩猎和取证能力。
- 网络流量分析(NDR):深度分析网络流量(南北向和东西向),检测横向移动、数据外泄、端口扫描、C2通信等异常行为。
- 身份威胁检测与响应(ITDR):监测Active Directory (AD)、Entra ID (Azure AD)等身份提供商,检测凭证盗用、异常登录、暴力破解、权限提升等身份相关威胁。
- 云检测与响应(CDR):监控AWS、Azure、Google Cloud等云环境,检测云服务配置错误、异常API调用、加密挖矿、云账户失陷等。
- 应用检测与响应:对SaaS应用(如Office 365、Google Workspace、Confluence、Jira)进行防护,检测钓鱼邮件、异常邮件规则、恶意文件分享等。
2. 智能分析与关联
- 自动化关联与事件摘要:利用AI/ML引擎(如Multi-Layer AI™)自动将来自不同传感器的低级别告警(告警风暴)聚合成一个具有完整攻击链(杀伤链)的高级事件(Incident),并生成白话式的事件摘要。
- 可视化攻击图谱:将攻击过程以图形化方式展示,直观呈现攻击入口、横向移动路径及受影响资产。
3. 自动化响应与编排
- 自动化响应工作流:内置或支持自定义响应剧本,当特定威胁被确认时,自动执行响应动作,如:隔离终端、阻断IP、挂起用户账户、删除恶意邮件、关闭云主机等。
- 一键修复:针对特定威胁(如身份泄露)提供一键式修复建议和操作,降低MTTR(平均响应时间)。
4. 开放性架构
- 威胁狩猎:支持安全分析师在统一数据湖中进行跨时间段、跨数据源的主动搜索,以发现隐匿的威胁。
### 能力支柱一:跨域遥测的归一化采集与融合
我们XDR系统区别于传统产品的首要特征,是其对异构数据的接纳能力。这点与我们的 多源异构弹性日志审计系统(LAS)相同。
**1. 多源遥测采集**
- **端点(EDR深度集成):** 进程树、注册表变更、文件操作、内存扫描、线程行为。
- **网络(NDR/防火墙):** 南北向流量元数据、东西向流量(微隔离)、TLS证书、DNS查询、HTTP/HTTPS对象。
- **身份与目录(Identity):** AD/LDAP认证日志、Kerberos票据、特权账号行为、MFA失败尝试。
- **云工作负载(CWPP):** 容器(K8s审计日志)、Serverless调用链、云API调用(CloudTrail)、存储桶策略变更。
- **邮件与协作(Email Security):** 邮件头分析、附件沙箱引爆、链接重写记录、OAuth应用授权行为。
- **SaaS应用(SaaS Security):** 关键文件分享、异常登录地理位置、API调用频次。
**2. 数据归一化与标准化**
- **统一数据模型(UDM):** 将不同厂商的`process.create`、`ProcessStart`等异构字段,映射为标准语义字段(如`actor.process.name`、`target.file.path`)。
- **时间对齐与补全:** 自动处理多源设备的时间漂移,通过NTP漂移补偿算法实现毫秒级事件对齐。
- **结构化富化:** 原始日志 → 字段提取 → 情报富化(添加威胁情报标签、资产重要性标签、地理位置) → 上下文关联。
### 能力支柱二:融合型威胁检测引擎
我们XDR系统的检测不再是单点规则的简单叠加,而是多模态证据的协同分析。
**1. 多层级检测模型**
| 检测层级 | 技术实现 | 典型场景 |
|---------|----------|----------|
| 基于IOC(失陷指标) | 全字段匹配 + 通配符/正则 | 已知恶意哈希、C2域名黑名单 |
| 基于IOA(攻击行为) | 行为序列模式匹配(如Kill Chain阶段映射) | 进程自启动 + 注册表修改 + 网络外连 |
| 基于ML(机器学习) | 无监督异常评分(隔离森林/变分自编码器) | 罕见的RDP登录时段 + 大量文件访问 |
| 基于图关联 | 行为实体关系图谱(进程→文件→网络→用户) | 横向移动路径发现(Pass-the-Hash链) |
| 基于ATT&CK映射 | 行为编目到MITRE ATT&CK技术ID | 自动标注攻击阶段与战术目的 |
**2. 跨实体关联分析**
- **实体中心视图:** 以主机、用户、IP、文件哈希、云资源ID为核心,聚合该实体的所有历史行为。
- **时间窗口滑动关联:** 支持长周期(如30天)低慢攻击模式识别,以及毫秒级高频操作链拼接。
- **异常组合打分:** 例如“新创建服务(低风险) + 从罕见地理位置访问(中风险) + 目标为高价值资产(高权重)” → 综合风险分92/100。
### 能力支柱三:统一威胁调查与溯源
我们XDR系统的价值兑现点在于:将告警从“发生了什么”进化为“发生了什么、怎么发生的、影响多大、现在是否还在发生”。
**1. 可视化攻击故事线**
- **时间线折叠:** 将相关告警、事件、上下文按攻击阶段自动折叠为一条完整故事线,而非时间倒序罗列。
- **进程树可视化:** 展示攻击从初始执行(如钓鱼附件)到后续进程注入、提权、持久化、横向移动的全过程。
- **依赖关系图:** 展示文件、注册表、计划任务、服务、网络连接之间的派生关系。
**2. 深度上下文调查能力**
- **实时的端到端时间旅行:** 对于端点,支持回溯某进程过去30天内的所有子进程、文件读写、网络连接(需预先配置数据保留策略)。
- **原始数据探查:** 一键从聚合告警下钻到原始日志(如完整的PCAP、进程内存dump、注册表完整值)。
- **IOC扩线查询:** 输入一个可疑哈希,系统自动回答:哪些终端有过该文件?谁执行了它?它访问了哪些域名?是否有其他变种?
**3. 自动化根因推断**
- **初始向量判定:** 通过时间排序与依赖链,自动标记攻击起点(如“从用户A双击附件开始”)。
- **影响范围清单:** 自动计算受影响主机数、用户账号数、敏感数据访问记录、暴露的云资源。
- **持续活性检测:** 判定攻击组件(如驻留服务、计划任务)当前是否仍存活于系统中。
### 能力支柱四:精准化响应与修复
我们XDR系统的响应目标是:可衡量、可逆、可审计,且最大限度减少业务中断。
**1. 分层响应动作库**
| 响应层级 | 动作示例 | 适用场景 |
|---------|----------|----------|
| 告警层 | 变更告警状态、添加注释、生成工单 | 误报处理、调查移交 |
| 网络层 | 阻断IP/域名、隔离VLAN、撤销云安全组规则 | 检测到C2通信、数据外传 |
| 端点层 | 终止进程、隔离主机(仅允许与XDR通信)、删除计划任务、恢复注册表 | 恶意软件驻留、勒索软件加密中 |
| 身份层 | 强制重置密码、吊销会话令牌、禁用MFA绕过的账号 | 凭证泄露、异常SSO活动 |
| 云层 | 撤销临时凭证、快照受损云盘、回滚K8s部署 | 云API滥用、容器逃逸 |
**2. 编排响应(Playbook)**
- **条件触发器:** 当检测到勒索软件行为(如批量修改文件扩展名 + 删除卷影副本)→ 自动执行:隔离主机 → 终止关联进程 → 创建工单 → 通知安全值班长。
- **人工审批门禁:** 高风险响应动作(如批量隔离50+主机)默认需二次确认,支持与Jira/ServiceNow集成审批流。
- **回滚与补偿:** 响应动作需可逆。例如“阻断IP”需配套超时自动解封(如1小时);“隔离主机”需支持一键恢复网络。
**3. 闭环度量**
- **MTTD(平均侦测时间)缩短:** XDR通过关联分析,可较传统SIEM减少90%以上的人工分析时间。
- **MTTR(平均响应时间)缩短:** 自动化Playbook可将隔离+终止进程时间压缩至秒级。
- **响应覆盖率:** 统计针对某类攻击(如钓鱼)是否有预定义响应动作,以及自动化执行比例。
### 能力支柱五:持续狩猎与态势感知
我们XDR系统不仅是被动检测,更支持主动威胁狩猎与整体安全态势量化。这个特性也是我们威胁狩猎系统(THS)的一部分。
**1. 威胁狩猎工作台**
- **自然语言查询(NLQ):** 输入“显示过去24小时所有从罕见国家访问数据库的主机”,系统自动转换为Linq/Sigma查询。
- **狩猎指标库:** 内置或导入Sigma规则、YARA规则、MITRE ATT&CK映射查询。
- **假说验证辅助:** 提供数据透视工具(如按进程名聚合、按用户异常登录地理分布聚类)。
**2. 态势度量面板**
- **风险趋势:** 高危告警数量、受影响资产数量、未处置告警老化时间的时序曲线。
- **杀伤链覆盖度:** 当前检测能力覆盖MITRE ATT&CK的哪些战术与技术,缺失哪些关键检测点。
- **资产暴露面分析:** 哪些主机长期未安装补丁但持续存在SMB高危漏洞利用告警。
- **响应SLA达成率:** 针对严重告警,从产生到开始调查、到完成响应的SLA时间占比。
---
## 产品特性
### 特性1:原生集成 vs. 后装集成
**原生集成(Built-in):** 端点、网络、身份等传感器由同一技术栈构建,数据模型、通信协议、策略格式统一。优势在于低延迟(毫秒级关联)、高可靠(统一心跳)、低开销(共享解析引擎)。
**后装集成(Bolted-on):** 通过API拉取第三方产品告警,本质上仍是SIEM逻辑。XDR应优先采用原生集成,对第三方通过开放数据总线适配。
### 特性2:可配置的检测与响应粒度
我们的企业级XDR支持从“完全自动化”到“仅检测”的连续谱系配置:
- **静默检测模式:** 仅产生告警,不执行任何自动化动作(适用于新规则试运行)。
- **建议模式:** 系统推荐响应动作,需人工单击执行。
- **半自动模式:** 低风险动作(如更新告警状态)自动执行,高风险动作需审批。
- **全自动模式:** 针对某些攻击类型(如勒索软件)启用完整自动响应链。
### 特性3:高性能与低资源占用
- **端点Agent开销:** 典型场景下CPU占用 ≤ 3%,内存 ≤ 150MB,磁盘IO ≤ 50MB/天(需支持配置节流策略)。
- **分析引擎水平扩展:** 支持Kafka + Flink流处理架构,单集群处理能力 ≥ 10万EPS(事件每秒)。
- **存储冷热分层:** 近期热数据(7天)存SSD,中期温数据(30天)存HDD,长期冷数据(365天)存对象存储,并支持可配置的数据降采样。
### 特性4:开放性与可编程性
- **开放数据总线:** 提供Kafka、Syslog、Webhook、API等多种方式输出归一化后的数据,供下游数据湖或SIEM使用(XDR不应成为孤岛)。
- **自定义检测脚本:** 支持Python/Go等沙箱环境运行自定义检测逻辑,用于特定业务场景的异常检测(如财务系统罕见转账金额模式)。
- **Playbook市场:** 预置常见攻击类型(钓鱼、勒索、内鬼、挖矿)的响应剧本,支持用户上传、分享、打分。
### 特性5:隐私合规与数据驻留
- **数据本地化:** 支持按租户、按地区配置数据存储位置(例如欧盟数据不离开法兰克福节点)。
- **PII脱敏:** 自动识别日志中的用户名、邮箱、IP地址,提供可配置的脱敏规则(如哈希化、截断)。
- **审计日志不可变:** 所有配置变更、告警状态变更、响应动作执行,均产生不可变审计日志,满足SOC2、ISO27001等合规要求。
### 特性6:统一策略语言
我们XDR系统提供一种**跨所有传感器类型**的策略描述语言。例如:
```shell
if (process.executed_from_temp AND network.connects_to_dynamic_dns AND user.not_in_allowlist)
then alert.xdr("Potential Download Cradle") and recommend.quarantine(host)
```
而非分别为EDR、NDR、身份产品维护不同策略语法。这极大降低了安全策略的复杂性。
---
## 价值量化指标
我们在测试验证XDR系统时,按照以下可衡量收益的指标体系来评估系统强弱:
| 指标类别 | 具体指标 | 测量方法 |
|------|----------------|-------------------------|
| 效率提升 | 平均事件调查时间(MTTI) | 从打开告警到确认真阳性的时间 |
| 准确性 | 告警降噪比 | (原始告警数 - 真阳性数)/ 原始告警数 |
| 响应速度 | 自动响应动作占比 | 自动执行动作数 / 总响应动作数 |
| 覆盖度 | 杀伤链覆盖阶段数 | 实际能检测到MITRE ATT&CK的战术数量 |
| 成本 | 每EPS运维成本 | 总TCO(含人力)/ 系统吞吐量 |
一般情况下,部署后6-12个月可实现的改善目标:
- 告警降噪比 ≥ 90%(从每天数千降至数百甚至数十)
- MTTI 从数小时降至 15-30 分钟
- 自动响应占比 ≥ 60%(针对高置信度检测)
---
## 最后
从前面的内容可以看到,XDR是多种工具系统的一个综合融合,比如SIEM、EDR、NDR、LAS、THS,这块我们都分别有各自的子系统功能。
我们认为XDR最终的成功并非取决于哪一个检测算法更精准,而在于它是否真正降低了安全团队的整体认知负荷。具体而言:
1. **让分析师只关注真正的攻击故事线,而非海量事件。** 这是XDR区别于传统工具最核心的体验价值。
2. **响应动作必须像“撤销”按钮一样简单可逆。** 安全人员的最大焦虑是“我响应错了怎么办”。提供预览、模拟运行、回滚能力,比多一个检测规则更重要。
3. **XDR应成为安全数据的中台,而非又一个数据烟囱。** 开放输出、支持被集成,反而能提升XDR在企业安全架构中的核心地位。
4. **从第一天起就考虑“静默模式”与“仅检测”运行。** 企业采用XDR的最大障碍是信任,允许逐步、分区域、分攻击类型开启自动化响应,是产品落地的必经之路。
XDR不是要替代所有安全产品,而是要重构安全团队的工作流:从“消防员式救火”转向“指挥中心式全局调度”。这既是技术问题,更是人机交互与信任设计的问题。
---
- 官网:http://www.mdrsec.com
- 产品文档:http://www.docs.mdrsec.com
- 系统演示环境:http://www.play.mdrsec.com
*本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。
## 产品清单
### 企业网络安全运营中心产品
- 资产安全配置管理系统(SCMDB)
- 终端侦测与响应系统(EDR)
- 网络侦测与响应系统(NDR)
- 企业网络资产攻击面管理系统(CAASM)
- 资产暴露面管理系统(AEMS)
- 网络安全蜜罐管理系统(HoneyPot)
- 安全事件收集与告警管理系统(SIEM)
- 扩展侦测与响应系统(XDR)
- 多引擎脆弱性扫描系统(VAS)
- 多源日志审计监测系统(LAS)
- 网络安全威胁情报中心(TIS)
- 网络安全漏洞库管理系统(VDBS)
- 网络安全编排与自动化响应(SOAR)
- 威胁狩猎系统(THS)
- 数据库安全审计系统(DSAS)
- AI智能体安全态势管理系统(AISPM)
- Web防火墙(WAF)
- 网站安全监测平台(WSM)
- 网络安全态势感知平台(SSAP)
- 网络安全自动化应急响应工具系统(NSRT)
- 企业网络安全运维工具系统(SecTools)
- 网络安全自动化等保测评系统(ASES)
- 浏览器安全监测防护系统(BSMPS)
- 网络安全用户实体行为分析系统(UEBA)
- 互联网电信诈骗预警防护系统(TPFWS)
- 云原生安全管理平台(CNAPP)
- 自动化渗透测试系统(PTS)
- 工业企业信息安全监测中心(IoT SOC)
- 企业智能安全运营中心(AISOC)
### 企业自动化运维产品
- 运维智能监控告警管理平台(AIMAMS)
- 企业网络工具系统(NTools)
- 自动化测试系统(AutoTest)
- 自动化运维系统(AutoOps)
- 企业运维工具系统(OpsTools)
- 物联网管理系统(IoTS)
- 软件开发生命周期管理系统(SDLC)
- IT流程管理系统(ITSM)
### 企业数字化运营资源管理系统产品
- 制造执行管理系统(MES)
- 运输管理系统(TMS)
- 跨境电商企业资源管理系统(ERP)
- 企业客户关系管理系统(CRM)
- 跨境电商仓库管理系统(WMS)
- 财务管理系统(FMS)
- 质量管理系统(QMS)
- 精准营销管理系统(PMS)
- 智能生产管理系统(SPMS)
- 电商BI系统(BI)
- 智能互联网分布式爬虫系统(AISpider)
## ABOUT
**【关于我们】**
* [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html)
* [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q)
* [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g)
[](https://github.com/zrf-rocket)
[](https://gitee.com/SteveRocket/)
 🥰
**【代码工程系列】**
* [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern)
* GitHub:https://github.com/zrf-rocket/DesignPattern
* Gitee:https://gitee.com/SteveRocket/design_pattern
* [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook)
* GitHub:https://github.com/zrf-rocket/CookBook
* Gitee:https://gitee.com/SteveRocket/cook-book
* [Go代码示例](https://github.com/zrf-rocket/PracticeGo)
* GitHub:https://github.com/zrf-rocket/PracticeGo
* Gitee:https://gitee.com/SteveRocket/practice_go
* [Python代码示例](https://github.com/zrf-rocket/PracticePython)
* GitHub:https://github.com/zrf-rocket/PracticePython
* Gitee:https://gitee.com/SteveRocket/practice_python
* [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework)
* GitHub:https://github.com/zrf-rocket/PythonFramework
* Gitee:https://gitee.com/SteveRocket/python_framework
* [Rust代码示例](https://github.com/zrf-rocket/PracticeRust)
* GitHub:https://github.com/zrf-rocket/PracticeRust
* Gitee:https://gitee.com/SteveRocket/practice_rust
* [Vue代码示例](https://github.com/zrf-rocket/PracticeVue)
* GitHub:https://github.com/zrf-rocket/PracticeVue
* Gitee:https://gitee.com/SteveRocket/practice_vue
* [前端代码示例](https://github.com/zrf-rocket/PracticeFronted)
* GitHub:https://github.com/zrf-rocket/PracticeFronted
* Gitee:https://gitee.com/SteveRocket/practice_fronted
* [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework)
* GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework
* Gitee:https://gitee.com/SteveRocket/python_test_automation_framework
* [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms)
* GitHub:https://github.com/zrf-rocket/Algorithms
* Gitee:https://gitee.com/SteveRocket/Algorithms
* [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure)
* GitHub:https://github.com/zrf-rocket/DataStructure
* Gitee:https://gitee.com/SteveRocket/data_structure
* [编码规范](https://github.com/zrf-rocket/DevGuide)
* GitHub:https://github.com/zrf-rocket/DevGuide
* Gitee:https://gitee.com/SteveRocket/develop_guide
* [编码安全规范](https://github.com/zrf-rocket/SecGuide)
* GitHub:https://github.com/zrf-rocket/SecGuide
* Gitee:https://gitee.com/SteveRocket/security_guide
**【产品系列】**
* [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM)
* GitHub:https://github.com/zrf-rocket/SIEM
* Gitee:https://gitee.com/SteveRocket/siem
* [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC)
* GitHub:https://github.com/zrf-rocket/EDR_SOC
* Gitee:https://gitee.com/SteveRocket/edr_soc
* [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC)
* GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC
* Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc
* [AI图像识别-智能缺陷检测系统]()
* [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ)
* [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg)
# 安全运营中心(SOC)-终端侦测与响应系统(EDR)