# openXDR **Repository Path**: SteveRocket/openXDR ## Basic Information - **Project Name**: openXDR - **Description**: 网络安全体系化建设SCMDB、EDR、NDR、CAASM、AEMS、HoneyPot、SIEM、XDR、VAS、LAS、TIS、VDBS、SOAR、THS、DSAS、AISPM、WAF、WSM、SSAP、NSRT、SecTools、ASES、BSMPS、UEBA、TPFWS、CNAPP、PTS、IoT SOC、AISOC http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 0 - **Created**: 2026-04-03 - **Last Updated**: 2026-07-03 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 扩展侦测与响应系统(XDR) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](index.jpg) ![](investigation-timeline.jpg) ![](threat-alerts.jpg) ![](事件响应-事件列表.jpg) ![](合规基线.jpg) ![](端点管理.jpg) ![](网络安全-网络策略.jpg) ![](资产清单.jpg) 在企业数字化深度渗透的今天,网络攻击已从单一入口、单一手法的“点状威胁”,演变为横跨终端、网络、云、身份、邮件等多维度的“链式攻击”。传统安全产品堆叠模式(EDR、NDR、SIEM、SOAR各自为政)带来的不仅是海量告警与高昂运维成本,更造成了“盲人摸象”式的响应盲区。 **扩展侦测与响应系统(XDR)** 并非简单的技术迭代,而是一次安全架构的重构。这里我给它的定义是:**打破数据孤岛,将多源遥测转化为统一、可行动、自动化的威胁防御能力。** 我们的扩展侦测与响应系统(XDR)的核心在于跨域(终端、网络、云、身份)的数据关联与自动化响应。它打破了传统安全产品的孤岛,通过原生集成或开放架构提供统一的威胁检测与响应能力。 接下来,我为大家介绍下我们自研的**扩展侦测与响应系统(XDR)** 核心功能与特性,以下简称为XDR - 官网:http://www.mdrsec.com - 产品文档:http://www.docs.mdrsec.com - 系统演示环境:http://www.play.mdrsec.com --- ## XDR核心功能矩阵(五大能力支柱) 比如我们的XDR系统支持以下功能: 1. 跨域数据采集(传感器层) - 终端检测与响应(EDR):采集终端进程、注册表、文件行为、内存信息,具备终端层面的威胁狩猎和取证能力。 - 网络流量分析(NDR):深度分析网络流量(南北向和东西向),检测横向移动、数据外泄、端口扫描、C2通信等异常行为。 - 身份威胁检测与响应(ITDR):监测Active Directory (AD)、Entra ID (Azure AD)等身份提供商,检测凭证盗用、异常登录、暴力破解、权限提升等身份相关威胁。 - 云检测与响应(CDR):监控AWS、Azure、Google Cloud等云环境,检测云服务配置错误、异常API调用、加密挖矿、云账户失陷等。 - 应用检测与响应:对SaaS应用(如Office 365、Google Workspace、Confluence、Jira)进行防护,检测钓鱼邮件、异常邮件规则、恶意文件分享等。 2. 智能分析与关联 - 自动化关联与事件摘要:利用AI/ML引擎(如Multi-Layer AI™)自动将来自不同传感器的低级别告警(告警风暴)聚合成一个具有完整攻击链(杀伤链)的高级事件(Incident),并生成白话式的事件摘要。 - 可视化攻击图谱:将攻击过程以图形化方式展示,直观呈现攻击入口、横向移动路径及受影响资产。 3. 自动化响应与编排 - 自动化响应工作流:内置或支持自定义响应剧本,当特定威胁被确认时,自动执行响应动作,如:隔离终端、阻断IP、挂起用户账户、删除恶意邮件、关闭云主机等。 - 一键修复:针对特定威胁(如身份泄露)提供一键式修复建议和操作,降低MTTR(平均响应时间)。 4. 开放性架构 - 威胁狩猎:支持安全分析师在统一数据湖中进行跨时间段、跨数据源的主动搜索,以发现隐匿的威胁。 ### 能力支柱一:跨域遥测的归一化采集与融合 我们XDR系统区别于传统产品的首要特征,是其对异构数据的接纳能力。这点与我们的 多源异构弹性日志审计系统(LAS)相同。 **1. 多源遥测采集** - **端点(EDR深度集成):** 进程树、注册表变更、文件操作、内存扫描、线程行为。 - **网络(NDR/防火墙):** 南北向流量元数据、东西向流量(微隔离)、TLS证书、DNS查询、HTTP/HTTPS对象。 - **身份与目录(Identity):** AD/LDAP认证日志、Kerberos票据、特权账号行为、MFA失败尝试。 - **云工作负载(CWPP):** 容器(K8s审计日志)、Serverless调用链、云API调用(CloudTrail)、存储桶策略变更。 - **邮件与协作(Email Security):** 邮件头分析、附件沙箱引爆、链接重写记录、OAuth应用授权行为。 - **SaaS应用(SaaS Security):** 关键文件分享、异常登录地理位置、API调用频次。 **2. 数据归一化与标准化** - **统一数据模型(UDM):** 将不同厂商的`process.create`、`ProcessStart`等异构字段,映射为标准语义字段(如`actor.process.name`、`target.file.path`)。 - **时间对齐与补全:** 自动处理多源设备的时间漂移,通过NTP漂移补偿算法实现毫秒级事件对齐。 - **结构化富化:** 原始日志 → 字段提取 → 情报富化(添加威胁情报标签、资产重要性标签、地理位置) → 上下文关联。 ### 能力支柱二:融合型威胁检测引擎 我们XDR系统的检测不再是单点规则的简单叠加,而是多模态证据的协同分析。 **1. 多层级检测模型** | 检测层级 | 技术实现 | 典型场景 | |---------|----------|----------| | 基于IOC(失陷指标) | 全字段匹配 + 通配符/正则 | 已知恶意哈希、C2域名黑名单 | | 基于IOA(攻击行为) | 行为序列模式匹配(如Kill Chain阶段映射) | 进程自启动 + 注册表修改 + 网络外连 | | 基于ML(机器学习) | 无监督异常评分(隔离森林/变分自编码器) | 罕见的RDP登录时段 + 大量文件访问 | | 基于图关联 | 行为实体关系图谱(进程→文件→网络→用户) | 横向移动路径发现(Pass-the-Hash链) | | 基于ATT&CK映射 | 行为编目到MITRE ATT&CK技术ID | 自动标注攻击阶段与战术目的 | **2. 跨实体关联分析** - **实体中心视图:** 以主机、用户、IP、文件哈希、云资源ID为核心,聚合该实体的所有历史行为。 - **时间窗口滑动关联:** 支持长周期(如30天)低慢攻击模式识别,以及毫秒级高频操作链拼接。 - **异常组合打分:** 例如“新创建服务(低风险) + 从罕见地理位置访问(中风险) + 目标为高价值资产(高权重)” → 综合风险分92/100。 ### 能力支柱三:统一威胁调查与溯源 我们XDR系统的价值兑现点在于:将告警从“发生了什么”进化为“发生了什么、怎么发生的、影响多大、现在是否还在发生”。 **1. 可视化攻击故事线** - **时间线折叠:** 将相关告警、事件、上下文按攻击阶段自动折叠为一条完整故事线,而非时间倒序罗列。 - **进程树可视化:** 展示攻击从初始执行(如钓鱼附件)到后续进程注入、提权、持久化、横向移动的全过程。 - **依赖关系图:** 展示文件、注册表、计划任务、服务、网络连接之间的派生关系。 **2. 深度上下文调查能力** - **实时的端到端时间旅行:** 对于端点,支持回溯某进程过去30天内的所有子进程、文件读写、网络连接(需预先配置数据保留策略)。 - **原始数据探查:** 一键从聚合告警下钻到原始日志(如完整的PCAP、进程内存dump、注册表完整值)。 - **IOC扩线查询:** 输入一个可疑哈希,系统自动回答:哪些终端有过该文件?谁执行了它?它访问了哪些域名?是否有其他变种? **3. 自动化根因推断** - **初始向量判定:** 通过时间排序与依赖链,自动标记攻击起点(如“从用户A双击附件开始”)。 - **影响范围清单:** 自动计算受影响主机数、用户账号数、敏感数据访问记录、暴露的云资源。 - **持续活性检测:** 判定攻击组件(如驻留服务、计划任务)当前是否仍存活于系统中。 ### 能力支柱四:精准化响应与修复 我们XDR系统的响应目标是:可衡量、可逆、可审计,且最大限度减少业务中断。 **1. 分层响应动作库** | 响应层级 | 动作示例 | 适用场景 | |---------|----------|----------| | 告警层 | 变更告警状态、添加注释、生成工单 | 误报处理、调查移交 | | 网络层 | 阻断IP/域名、隔离VLAN、撤销云安全组规则 | 检测到C2通信、数据外传 | | 端点层 | 终止进程、隔离主机(仅允许与XDR通信)、删除计划任务、恢复注册表 | 恶意软件驻留、勒索软件加密中 | | 身份层 | 强制重置密码、吊销会话令牌、禁用MFA绕过的账号 | 凭证泄露、异常SSO活动 | | 云层 | 撤销临时凭证、快照受损云盘、回滚K8s部署 | 云API滥用、容器逃逸 | **2. 编排响应(Playbook)** - **条件触发器:** 当检测到勒索软件行为(如批量修改文件扩展名 + 删除卷影副本)→ 自动执行:隔离主机 → 终止关联进程 → 创建工单 → 通知安全值班长。 - **人工审批门禁:** 高风险响应动作(如批量隔离50+主机)默认需二次确认,支持与Jira/ServiceNow集成审批流。 - **回滚与补偿:** 响应动作需可逆。例如“阻断IP”需配套超时自动解封(如1小时);“隔离主机”需支持一键恢复网络。 **3. 闭环度量** - **MTTD(平均侦测时间)缩短:** XDR通过关联分析,可较传统SIEM减少90%以上的人工分析时间。 - **MTTR(平均响应时间)缩短:** 自动化Playbook可将隔离+终止进程时间压缩至秒级。 - **响应覆盖率:** 统计针对某类攻击(如钓鱼)是否有预定义响应动作,以及自动化执行比例。 ### 能力支柱五:持续狩猎与态势感知 我们XDR系统不仅是被动检测,更支持主动威胁狩猎与整体安全态势量化。这个特性也是我们威胁狩猎系统(THS)的一部分。 **1. 威胁狩猎工作台** - **自然语言查询(NLQ):** 输入“显示过去24小时所有从罕见国家访问数据库的主机”,系统自动转换为Linq/Sigma查询。 - **狩猎指标库:** 内置或导入Sigma规则、YARA规则、MITRE ATT&CK映射查询。 - **假说验证辅助:** 提供数据透视工具(如按进程名聚合、按用户异常登录地理分布聚类)。 **2. 态势度量面板** - **风险趋势:** 高危告警数量、受影响资产数量、未处置告警老化时间的时序曲线。 - **杀伤链覆盖度:** 当前检测能力覆盖MITRE ATT&CK的哪些战术与技术,缺失哪些关键检测点。 - **资产暴露面分析:** 哪些主机长期未安装补丁但持续存在SMB高危漏洞利用告警。 - **响应SLA达成率:** 针对严重告警,从产生到开始调查、到完成响应的SLA时间占比。 --- ## 产品特性 ### 特性1:原生集成 vs. 后装集成 **原生集成(Built-in):** 端点、网络、身份等传感器由同一技术栈构建,数据模型、通信协议、策略格式统一。优势在于低延迟(毫秒级关联)、高可靠(统一心跳)、低开销(共享解析引擎)。 **后装集成(Bolted-on):** 通过API拉取第三方产品告警,本质上仍是SIEM逻辑。XDR应优先采用原生集成,对第三方通过开放数据总线适配。 ### 特性2:可配置的检测与响应粒度 我们的企业级XDR支持从“完全自动化”到“仅检测”的连续谱系配置: - **静默检测模式:** 仅产生告警,不执行任何自动化动作(适用于新规则试运行)。 - **建议模式:** 系统推荐响应动作,需人工单击执行。 - **半自动模式:** 低风险动作(如更新告警状态)自动执行,高风险动作需审批。 - **全自动模式:** 针对某些攻击类型(如勒索软件)启用完整自动响应链。 ### 特性3:高性能与低资源占用 - **端点Agent开销:** 典型场景下CPU占用 ≤ 3%,内存 ≤ 150MB,磁盘IO ≤ 50MB/天(需支持配置节流策略)。 - **分析引擎水平扩展:** 支持Kafka + Flink流处理架构,单集群处理能力 ≥ 10万EPS(事件每秒)。 - **存储冷热分层:** 近期热数据(7天)存SSD,中期温数据(30天)存HDD,长期冷数据(365天)存对象存储,并支持可配置的数据降采样。 ### 特性4:开放性与可编程性 - **开放数据总线:** 提供Kafka、Syslog、Webhook、API等多种方式输出归一化后的数据,供下游数据湖或SIEM使用(XDR不应成为孤岛)。 - **自定义检测脚本:** 支持Python/Go等沙箱环境运行自定义检测逻辑,用于特定业务场景的异常检测(如财务系统罕见转账金额模式)。 - **Playbook市场:** 预置常见攻击类型(钓鱼、勒索、内鬼、挖矿)的响应剧本,支持用户上传、分享、打分。 ### 特性5:隐私合规与数据驻留 - **数据本地化:** 支持按租户、按地区配置数据存储位置(例如欧盟数据不离开法兰克福节点)。 - **PII脱敏:** 自动识别日志中的用户名、邮箱、IP地址,提供可配置的脱敏规则(如哈希化、截断)。 - **审计日志不可变:** 所有配置变更、告警状态变更、响应动作执行,均产生不可变审计日志,满足SOC2、ISO27001等合规要求。 ### 特性6:统一策略语言 我们XDR系统提供一种**跨所有传感器类型**的策略描述语言。例如: ```shell if (process.executed_from_temp AND network.connects_to_dynamic_dns AND user.not_in_allowlist) then alert.xdr("Potential Download Cradle") and recommend.quarantine(host) ``` 而非分别为EDR、NDR、身份产品维护不同策略语法。这极大降低了安全策略的复杂性。 --- ## 价值量化指标 我们在测试验证XDR系统时,按照以下可衡量收益的指标体系来评估系统强弱: | 指标类别 | 具体指标 | 测量方法 | |------|----------------|-------------------------| | 效率提升 | 平均事件调查时间(MTTI) | 从打开告警到确认真阳性的时间 | | 准确性 | 告警降噪比 | (原始告警数 - 真阳性数)/ 原始告警数 | | 响应速度 | 自动响应动作占比 | 自动执行动作数 / 总响应动作数 | | 覆盖度 | 杀伤链覆盖阶段数 | 实际能检测到MITRE ATT&CK的战术数量 | | 成本 | 每EPS运维成本 | 总TCO(含人力)/ 系统吞吐量 | 一般情况下,部署后6-12个月可实现的改善目标: - 告警降噪比 ≥ 90%(从每天数千降至数百甚至数十) - MTTI 从数小时降至 15-30 分钟 - 自动响应占比 ≥ 60%(针对高置信度检测) --- ## 最后 从前面的内容可以看到,XDR是多种工具系统的一个综合融合,比如SIEM、EDR、NDR、LAS、THS,这块我们都分别有各自的子系统功能。 我们认为XDR最终的成功并非取决于哪一个检测算法更精准,而在于它是否真正降低了安全团队的整体认知负荷。具体而言: 1. **让分析师只关注真正的攻击故事线,而非海量事件。** 这是XDR区别于传统工具最核心的体验价值。 2. **响应动作必须像“撤销”按钮一样简单可逆。** 安全人员的最大焦虑是“我响应错了怎么办”。提供预览、模拟运行、回滚能力,比多一个检测规则更重要。 3. **XDR应成为安全数据的中台,而非又一个数据烟囱。** 开放输出、支持被集成,反而能提升XDR在企业安全架构中的核心地位。 4. **从第一天起就考虑“静默模式”与“仅检测”运行。** 企业采用XDR的最大障碍是信任,允许逐步、分区域、分攻击类型开启自动化响应,是产品落地的必经之路。 XDR不是要替代所有安全产品,而是要重构安全团队的工作流:从“消防员式救火”转向“指挥中心式全局调度”。这既是技术问题,更是人机交互与信任设计的问题。 --- - 官网:http://www.mdrsec.com - 产品文档:http://www.docs.mdrsec.com - 系统演示环境:http://www.play.mdrsec.com *本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 财务管理系统(FMS) - 质量管理系统(QMS) - 精准营销管理系统(PMS) - 智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider) ## ABOUT **【关于我们】** * [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html) * [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q) * [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g) [![](https://img.shields.io/badge/GitHub-zrf--rocket-blue?logo=gitpod)](https://github.com/zrf-rocket) [![](https://img.shields.io/badge/Gitee-SteveRocket-pink)](https://gitee.com/SteveRocket/) ![CTO Plus](https://img.shields.io/badge/微信公众号:CTO%20Plus-8A2BE2) 🥰 **【代码工程系列】** * [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern) * GitHub:https://github.com/zrf-rocket/DesignPattern * Gitee:https://gitee.com/SteveRocket/design_pattern * [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook) * GitHub:https://github.com/zrf-rocket/CookBook * Gitee:https://gitee.com/SteveRocket/cook-book * [Go代码示例](https://github.com/zrf-rocket/PracticeGo) * GitHub:https://github.com/zrf-rocket/PracticeGo * Gitee:https://gitee.com/SteveRocket/practice_go * [Python代码示例](https://github.com/zrf-rocket/PracticePython) * GitHub:https://github.com/zrf-rocket/PracticePython * Gitee:https://gitee.com/SteveRocket/practice_python * [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework) * GitHub:https://github.com/zrf-rocket/PythonFramework * Gitee:https://gitee.com/SteveRocket/python_framework * [Rust代码示例](https://github.com/zrf-rocket/PracticeRust) * GitHub:https://github.com/zrf-rocket/PracticeRust * Gitee:https://gitee.com/SteveRocket/practice_rust * [Vue代码示例](https://github.com/zrf-rocket/PracticeVue) * GitHub:https://github.com/zrf-rocket/PracticeVue * Gitee:https://gitee.com/SteveRocket/practice_vue * [前端代码示例](https://github.com/zrf-rocket/PracticeFronted) * GitHub:https://github.com/zrf-rocket/PracticeFronted * Gitee:https://gitee.com/SteveRocket/practice_fronted * [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework) * GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework * Gitee:https://gitee.com/SteveRocket/python_test_automation_framework * [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms) * GitHub:https://github.com/zrf-rocket/Algorithms * Gitee:https://gitee.com/SteveRocket/Algorithms * [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure) * GitHub:https://github.com/zrf-rocket/DataStructure * Gitee:https://gitee.com/SteveRocket/data_structure * [编码规范](https://github.com/zrf-rocket/DevGuide) * GitHub:https://github.com/zrf-rocket/DevGuide * Gitee:https://gitee.com/SteveRocket/develop_guide * [编码安全规范](https://github.com/zrf-rocket/SecGuide) * GitHub:https://github.com/zrf-rocket/SecGuide * Gitee:https://gitee.com/SteveRocket/security_guide **【产品系列】** * [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM) * GitHub:https://github.com/zrf-rocket/SIEM * Gitee:https://gitee.com/SteveRocket/siem * [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC) * GitHub:https://github.com/zrf-rocket/EDR_SOC * Gitee:https://gitee.com/SteveRocket/edr_soc * [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC) * GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC * Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc * [AI图像识别-智能缺陷检测系统]() * [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ) * [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg) # 安全运营中心(SOC)-终端侦测与响应系统(EDR)