03. 安全产品体系
智能安全事件可观测性 · 产品体系参考
一、安全产品全景图
1.1 产品分类架构
graph TB
subgraph 安全产品全景
direction TB
P1[边界安全] --> P1a[防火墙 FW]
P1 --> P1b[Web应用防火墙 WAF]
P1 --> P1c[入侵检测/防御 IDS/IPS]
P1 --> P1d[VPN/零信任网关]
P2[终端安全] --> P2a[端点检测响应 EDR]
P2 --> P2b[防病毒 AV]
P2 --> P2c[终端管控 EPM]
P2 --> P2d[主机入侵检测 HIDS]
P3[网络安全] --> P3a[网络检测响应 NDR]
P3 --> P3b[全流量分析 NTA]
P3 --> P3c[网络取证 Nair]
P3 --> P3d[负载均衡 SLB]
P4[身份安全] --> P4a[身份管理 IAM]
P4 --> P4b[特权管理 PAM]
P4 --> P4c[零信任 ZTNA]
P4 --> P4d[多因素认证 MFA]
P5[应用安全] --> P5a[代码审计 SAST]
P5 --> P5b[动态测试 DAST]
P5 --> P5c[运行时应用自保护 RASP]
P5 --> P5d[API 安全]
P6[数据安全] --> P6a[数据防泄露 DLP]
P6 --> P6b[数据库安全审计 DAM]
P6 --> P6c[加密与密钥管理]
P6 --> P6d[备份与容灾]
P7[安全运营] --> P7a[安全信息与事件管理 SIEM]
P7 --> P7b[安全编排自动化响应 SOAR]
P7 --> P7c[威胁情报平台 TIP]
P7 --> P7d[态势感知平台]
P8[云安全] --> P8a[云工作负载保护 CWPP]
P8 --> P8b[云安全态势管理 CSPM]
P8 --> P8c[云访问安全代理 CASB]
end
style P7 fill:#e3f2fd,stroke:#1565c0
style P8 fill:#f3e5f5,stroke:#7b1fa2
1.2 产品能力矩阵
| 产品类别 | 核心能力 | 代表产品 | 检测能力 | 响应能力 | 覆盖范围 | 部署模式 |
|---|---|---|---|---|---|---|
| SIEM | 日志统一分析、关联分析 | Splunk, QRadar | ⭐⭐⭐⭐ | ⭐⭐ | 全局 | SaaS/On-Prem |
| SOAR | 自动化响应、剧本编排 | XSOAR | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | 全局 | SaaS/On-Prem |
| EDR | 终端检测响应、行为分析 | CrowdStrike | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | 终端 | SaaS |
| NDR | 网络检测响应、全流量 | Darktrace | ⭐⭐⭐⭐ | ⭐⭐⭐ | 网络 | On-Prem/SaaS |
| XDR | 跨层检测响应、关联分析 | Microsoft | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | 跨层 | SaaS |
| 态势感知 | 全局态势、威胁情报 | 启明、深信服 | ⭐⭐⭐⭐ | ⭐⭐⭐ | 全局 | On-Prem/SaaS |
| TIP | 威胁情报收集、关联、分发 | MISP | ⭐⭐⭐ | ⭐⭐ | 情报 | 开源/SaaS |
| CASB | 云应用安全、策略执行 | Netskope | ⭐⭐⭐⭐ | ⭐⭐⭐ | 云 | SaaS |
| CSPM | 云安全态势、合规检查 | Prisma Cloud | ⭐⭐⭐ | ⭐⭐⭐ | 云 | SaaS |
二、SIEM 产品体系
2.1 SIEM 核心架构
graph TB
subgraph 数据源层
NW[网络设备]
HOST[主机/服务器]
APP[应用程序]
SEC[安全设备]
CLOUD[云服务]
BIZ[业务系统]
end
subgraph 数据采集层
AGENT[Agent
安装代理]
SYSLOG[Syslog
日志收集]
API[API
接口对接]
PROTOCOL[协议
JDBC/文件]
end
subgraph 数据存储层
WAREHOUSE[日志仓库
Search]
TSDB[时序数据库
InfluxDB]
ES[搜索引擎
Elasticsearch]
OBJ[对象存储
S3/MinIO]
end
subgraph 分析引擎层
RULE[规则引擎
实时告警]
CORR[关联引擎
跨源关联]
AIML[AI/ML引擎
异常检测]
HUNT[威胁狩猎
主动发现]
end
subgraph 应用展示层
DASH[监控仪表盘]
ALERT[告警管理]
INVEST[调查取证]
COMPLY[合规报表]
ASSET[资产地图]
end
NW --> AGENT
HOST --> AGENT
APP --> SYSLOG
SEC --> SYSLOG
CLOUD --> API
BIZ --> PROTOCOL
AGENT --> WAREHOUSE
SYSLOG --> TSDB
API --> ES
PROTOCOL --> OBJ
WAREHOUSE --> RULE
TSDB --> CORR
ES --> AIML
OBJ --> HUNT
RULE --> DASH
CORR --> ALERT
AIML --> INVEST
HUNT --> COMPLY
style NW fill:#e3f2fd,stroke:#1565c0
style HOST fill:#e3f2fd,stroke:#1565c0
style APP fill:#e3f2fd,stroke:#1565c0
style SEC fill:#e3f2fd,stroke:#1565c0
style CLOUD fill:#e3f2fd,stroke:#1565c0
style BIZ fill:#e3f2fd,stroke:#1565c0
style AGENT fill:#e8f5e9,stroke:#2e7d32
style SYSLOG fill:#e8f5e9,stroke:#2e7d32
style API fill:#e8f5e9,stroke:#2e7d32
style PROTOCOL fill:#e8f5e9,stroke:#2e7d32
style RULE fill:#fff3e0,stroke:#e65100
style CORR fill:#fff3e0,stroke:#e65100
style AIML fill:#fff3e0,stroke:#e65100
style HUNT fill:#fff3e0,stroke:#e65100
2.2 SIEM 技术深度解析
日志归一化(Normalization):
| 阶段 | 说明 | 技术要点 |
|---|---|---|
| 采集 | 多源日志收集 | Syslog/CEF/JSON/WMI |
| 解析 | 结构化解析 | 正则解析、字段映射 |
| 标准化 | 统一字段格式 | 时间戳标准化、IP 格式统一 |
| 富化 | 增加上下文 | Asset 关联、威胁情报 |
| 存储 | 高效存储 | 压缩、索引、分区 |
日志格式标准化:
# CEF (Common Event Format)
CEF:Version|DeviceVendor|DeviceProduct|DeviceVersion|SignatureID|Name|Severity|Extension
# 示例
CEF:0|SecurityVendor|ProductName|1.0|100|Login Success|5|src=192.168.1.100 dst=10.0.0.1
# OCSF (Open Cybersecurity Schema Framework)
{
"Version": "1.0",
"EventTime": "2026-06-02T10:00:00Z",
"EventType": "USER_LOGIN",
"Actor": {"Name": "admin", "Type": "USER"},
"Target": {"Name": "server01", "Type": "HOST"},
"Outcome": "SUCCESS"
}2.3 SIEM 产品详细对比
| 产品 | 厂商 | 部署 | 存储架构 | 日志吞吐 | 定价模式 | 适用规模 |
|---|---|---|---|---|---|---|
| Splunk Enterprise | Splunk | On-Prem/SaaS | 分布式索引 | 100GB+/天 | 容量许可 | 大型企业 |
| Splunk Cloud | Splunk | SaaS | 托管 | 按需 | SaaS 订阅 | 中大型 |
| IBM QRadar | IBM | On-Prem/SaaS | Apache Cassandra | 50GB+/天 | 固定+容量 | 大型企业 |
| Microsoft Sentinel | Microsoft | SaaS | Azure Data Explorer | 无限制 | 按 ingestion 计费 | 云优先 |
| Elastic Security | Elastic | On-Prem/SaaS | Elasticsearch | 取决于硬件 | 开源免费 | 中小型 |
| Sumo Logic | Sumo Logic | SaaS | 专有 | 按需 | SaaS 订阅 | 中型企业 |
| Chronicle | SaaS | 专有 | 无限 | 固定订阅 | 大型企业 | |
| 阿里云日志服务 | 阿里云 | SaaS | 专有 | 按需 | 按量计费 | 云用户 |
| 华为云 SecStage | 华为 | SaaS/On-Prem | 专有 | 中等 | 固定+容量 | 华为云用户 |
| 启明星辰 LSP | 启明 | On-Prem | 专有 | 中等 | 固定 | 国内企业 |
Splunk vs ELK vs Sentinel 对比:
| 维度 | Splunk | Elastic Stack (ELK) | Microsoft Sentinel |
|---|---|---|---|
| 优点 | 功能强大、生态丰富 | 开源免费、灵活 | 云原生、Azure 深度集成 |
| 缺点 | 成本高、学习曲线陡 | 扩展需自建、运维复杂 | 离开 Azure 功能受限 |
| 日志搜索 | SPL 语言、功能强大 | Lucene 查询 | KQL 语言 |
| 机器学习 | 内置 MLTK | ML 插件 | 内置 Azure ML |
| SOAR 集成 | 内置 SOAR | 需集成 TheHive | 内置 XSOAR |
| 威胁情报 | 内置 + 第三方 | 需集成 | 内置 Azure TI |
| 定价 | 按容量 TB | 免费(开源)+ 硬件 | 按数据量 GB |
2.4 SIEM 部署模式
分布式部署架构:
graph TB
subgraph 总部数据中心
CORE[SIEM Core Cluster
搜索头 + 索引节点]
SEARCH[Search Head Cluster
搜索头集群]
INDEX[Indexer Cluster
索引节点集群 3+]
HOT[Hot Bucket
热数据]
WARM[Warm Bucket
温数据]
COLD[Cold Bucket
冷数据]
FWD[Forwarder Cluster
转发器集群]
HEAVY[Heavy Forwarder
重型转发器-解析]
LIGHT[Light Forwarder
轻量转发器-只转发]
end
subgraph 数据源
APP[应用服务器]
DB[数据库]
NET[网络设备]
end
subgraph 分支机构
BRANCH[轻量级 Forwarder
边缘转发]
end
subgraph 云环境
CLOUD[云专属 Forwarder/HEC
云端转发]
end
APP --> HEAVY
DB --> HEAVY
NET --> LIGHT
BRANCH --> LIGHT
CLOUD --> LIGHT
HEAVY --> FWD
LIGHT --> FWD
FWD --> INDEX
SEARCH <--> CORE
INDEX --> HOT
INDEX --> WARM
INDEX --> COLD
HOT --> WARM
WARM --> COLD
CORE --> SEARCH
style CORE fill:#e3f2fd,stroke:#1565c0
style SEARCH fill:#e3f2fd,stroke:#1565c0
style INDEX fill:#e3f2fd,stroke:#1565c0
style HOT fill:#fff3e0,stroke:#e65100
style WARM fill:#fff3e0,stroke:#e65100
style COLD fill:#fff3e0,stroke:#e65100
style FWD fill:#e8f5e9,stroke:#2e7d32
style HEAVY fill:#e8f5e9,stroke:#2e7d32
style LIGHT fill:#e8f5e9,stroke:#2e7d32
2.5 SIEM 检测规则示例
暴力破解检测规则:
规则名称: Brute_Force_Login_Detection
数据源: Windows Security Event / Linux Auth Log
条件:
- 事件类型: 登录失败
- 统计: 同一账户 10 分钟内失败 >= 5 次
- 或 同一 IP 10 分钟内失败 >= 10 次
严重级别: High
关联分析:
- 如果后续出现同一账户成功登录 → 确认入侵
- 如果 IP 在威胁情报黑名单 → 确认攻击
动作:
- 告警
- 创建工单
- 如满足阈值则自动封锁 IP横向移动检测规则:
规则名称: Lateral_Movement_Detection
数据源: Windows Security Event / Sysmon
条件:
- 事件: 新建 SMB 连接
- 从工作站连接服务器
- 连接时间在工作时间外
- 连接频率异常高
严重级别: Critical
关联分析:
- 检查同一会话是否有凭据访问行为
- 检查是否访问敏感共享目录
- 检查目标系统是否有其他异常三、SOAR 产品体系
3.1 SOAR 核心能力
三大核心模块:
graph LR
subgraph SOAR 三大模块
S1[安全编排
Orchestration] --> S4[统一调度引擎]
S2[自动化
Automation] --> S4
S3[响应
Response] --> S4
end
subgraph SOAR 功能矩阵
S4 --> F1[剧本编排
Playbook Editor]
S4 --> F2[任务执行
Task Automation]
S4 --> F3[告警分类
Alert Triage]
S4 --> F4[工单管理
Case Management]
S4 --> F5[案例管理
Investigation]
S4 --> F6[威胁情报
Threat Intel]
S4 --> F7[协作
Collaboration]
S4 --> F8[报告
Reporting]
end
style S1 fill:#e3f2fd,stroke:#1565c0
style S2 fill:#e8f5e9,stroke:#2e7d32
style S3 fill:#fff3e0,stroke:#e65100
3.2 SOAR 剧本架构
剧本结构详解:
剧本名称: Phishing_Response_Playbook
版本: 2.1
触发条件: SIEM/EDR 告警 (钓鱼邮件检测)
全局变量:
analyst_team: soc_team@company.com
triage_channel: "#soc-phishing"
max_isolation_time: 60 # 分钟
步骤:
Step 1: 告警分类
任务:
- 提取邮件元数据 (发件人、主题、时间)
- 提取附件信息 (文件名、哈希、类型)
- 提取链接信息 (URL、域名)
- 检查发件人域名信誉
输出:
- email_metadata
- attachments[]
- urls[]
- sender_reputation
Step 2: 威胁情报查询
任务:
- 查询邮件哈希 (VirusTotal, AlienVault)
- 查询 URL (Google Safe Browsing, URLhaus)
- 查询发件人 IP (AbuseIPDB, Cisco Talos)
动作:
- 如果命中恶意情报 → 标记为 True Positive
输出:
- ioc_matches[]
Step 3: 邮件分析
任务:
- 重构邮件头分析
- SPF/DKIM/DMARC 验证
- 沙箱执行附件/链接
动作:
- 如果沙箱检测到恶意行为 → 标记为 True Positive
输出:
- email_analysis
Step 4: 用户确认
任务:
- 查询邮件收件人列表
- 通知收件人 (如有)
- 请求用户确认是否点击链接
等待:
- 用户响应 (超时: 30分钟)
输出:
- user_acknowledgment
Step 5: 响应处置
分支:
如果 命中恶意情报 OR 沙箱检测 OR 用户点击:
任务:
- 隔离邮件 (从所有邮箱删除)
- 隔离相关主机
- 收集主机证据 (进程列表、网络连接、注册表)
- 封锁发件人域名
动作:
- 通知安全运营经理
- 创建 P1 事件工单
- 启动取证调查流程
否则 如果 无命中且用户未点击:
任务:
- 标记为 False Positive
- 关闭告警
- 记录情报反馈
Step 6: 事后分析
任务:
- 生成事件摘要
- 更新威胁情报
- 识别邮件防御缺口
- 建议用户安全培训3.3 SOAR 产品对比
| 产品 | 厂商 | 架构 | 剧本数 | 集成数 | AI 能力 | 定价 |
|---|---|---|---|---|---|---|
| Palo Alto XSOAR | Palo Alto | 微服务 | 700+ 内置 | 700+ | 内置 Copilot | 高 |
| Splunk SOAR | Splunk | 容器化 | 500+ 内置 | 400+ | Splunk AI | 高 |
| TheHive | TheHive Project | 单体 | 自定义 | 50+ | 需集成 Cortex | 中 (开源免费) |
| Shuffle | Shuffle AB | 云原生 | 自定义 | 100+ | 支持 | 中 (开源免费) |
| Siemplify | Google (已收购) | 云原生 | 300+ | 200+ | Chronicle 集成 | 中高 |
| IBM SOAR | IBM | 混合 | 200+ | 300+ | IBM Watson | 高 |
| Rapid7 InsightConnect | Rapid7 | SaaS | 100+ | 200+ | 无 | 中 |
3.4 SOAR 最佳实践
剧本设计原则:
| 原则 | 说明 | 反面示例 |
|---|---|---|
| 单一职责 | 每个剧本只处理一种场景 | "通用响应剧本" 处理所有场景 |
| 可重复执行 | 幂等设计,可安全重跑 | 写入操作不可重跑 |
| 人工确认点 | 高风险操作需人工审批 | 自动删除数据、自动大规模隔离 |
| 超时处理 | 设置合理的超时时间 | 无限等待外部系统响应 |
| 错误处理 | 捕获异常、优雅降级 | 任何错误导致整个剧本失败 |
| 日志记录 | 记录关键操作和决策 | "静默执行" 无记录 |
剧本审核清单:
审核项:
- [ ] 高风险操作是否有人工确认?
- [ ] 操作是否幂等 (可安全重跑)?
- [ ] 是否有适当的超时设置?
- [ ] 是否记录完整的操作日志?
- [ ] 是否处理了所有可能的分支?
- [ ] 是否有错误处理和降级策略?
- [ ] 是否符合最小权限原则?
- [ ] 是否在测试环境验证过?四、EDR 产品体系
4.1 EDR 核心能力详解
EDR 五部曲:
graph TB
E1[Detect 检测] --> E2[Investigate 调查]
E2 --> E3[Hunt 狩猎]
E3 --> E4[Contain 遏制]
E4 --> E5[Remediate 修复]
E1 -->|"持续监控"| E1a[行为采集]
E1 -->|"实时告警"| E1b[异常检测]
E1 -->|"威胁情报"| E1c[IOC匹配]
E2 -->|"时间线"| E2a[进程链分析]
E2 -->|"关联"| E2b[跨主机关联]
E2 -->|"上下文"| E2c[ATT&CK映射]
style E1 fill:#e3f2fd,stroke:#1565c0
style E2 fill:#e8f5e9,stroke:#2e7d32
style E3 fill:#fff3e0,stroke:#e65100
style E4 fill:#fce4ec,stroke:#c62828
style E5 fill:#f3e5f5,stroke:#7b1fa2
4.2 EDR 检测技术深度
检测引擎类型:
| 技术 | 说明 | 检测能力 | 性能影响 | 代表厂商 |
|---|---|---|---|---|
| 签名检测 | 哈希/模式匹配 | 已知威胁 | 低 | 传统 AV |
| 行为检测 | 进程/文件/网络行为 | 未知威胁 | 中 | Carbon Black |
| AI/ML 检测 | 机器学习模型 | 异常行为 | 中 | CrowdStrike |
| 云端检测 | 云端实时分析 | 全面 | 低 (终端轻量) | 主流 EDR |
| 内存检测 | 内存注入/无文件 | 高级威胁 | 高 | SentinelOne |
MITRE ATT&CK 覆盖率对比(2024):
| 战术 | CrowdStrike | SentinelOne | Microsoft | Carbon Black |
|---|---|---|---|---|
| 初始访问 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 执行 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 持久化 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 权限提升 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 防御规避 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 凭据访问 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 发现 | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 横向移动 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 命令控制 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 影响 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
4.3 EDR 产品对比
| 产品 | 架构 | 存储 | 检测方式 | 响应能力 | 隔离速度 | 定价 |
|---|---|---|---|---|---|---|
| CrowdStrike Falcon | 云原生 SaaS | 云端 | AI+行为+签名 | 实时隔离 | < 1 秒 | 高 (按终端/年) |
| SentinelOne | 分布式 | 端+云 | 行为+AI+静态 | 自动化 | < 1 秒 | 中高 |
| Microsoft Defender | 集成 Windows | 云端 | AI+ML | 原生集成 | 内置 | 中 (含 M365) |
| Carbon Black | 云原生 | 云端 | 行为分析 | API 集成 | < 30 秒 | 中高 |
| Sophos | 分布式 | 端+云 | ML+行为 | 自愈能力 | 自动 | 中 |
| Trellix (McAfee) | 混合 | 端+云 | 行为+NLP | 多引擎 | 中 | 中高 |
| 卡巴斯基 EDR | 混合 | 端+云 | 行为+规则 | 专业响应 | < 1 分钟 | 中高 |
| 奇安信天眼 | On-Prem/SaaS | 端+云 | 规则+AI | 联动响应 | 依赖设备 | 中 |
4.4 EDR 关键检测规则
无文件攻击检测:
规则名称: Fileless_Attack_Detection
检测逻辑:
- 父进程 ∈ [explorer, outlook, winword, excel, iexplore, chrome]
- 子进程 ∈ [powershell, cmd, wscript, cscript, mshta, rundll32]
- 条件: 命令行包含 (-enc, -encoded, DownloadString, Invoke-Expression)
- 条件: 无对应的 .ps1/.bat 文件存在
严重级别: High
数据源: EDR Process Events, Sysmon Event ID 1
规则名称: WMI_Persistence_Detection
检测逻辑:
- 事件源: Microsoft-Windows-WMI-Activity/Operational
- 操作类型: Module 加载
- 筛选器/消费者存在性异常
严重级别: High
数据源: Windows WMI Event Log勒索软件检测:
规则名称: Ransomware_Behavior_Detection
检测逻辑:
- 行为: 进程在 1 分钟内操作 > 100 个文件
- 行为: 文件扩展名变更模式匹配 (*.locked, *.encrypted, *.crypto)
- 行为: 卷影删除命令执行 (vssadmin delete shadows, wbadmin delete catalog)
- 行为: 尝试停止安全服务 (windefend, wscsvc, mpssvc)
严重级别: Critical
动作:
- 立即隔离主机
- 保存进程树
- 触发勒索响应预案
数据源: EDR File Events, Windows System Log五、NDR 产品体系
5.1 NDR 核心能力
全流量分析架构:
graph TB
subgraph 数据采集
P1[网络分流器
TAP/SPAN]
P2[全流量镜像]
P3[NetFlow/sFlow]
end
subgraph 检测引擎
P1 --> D1[深度包检测 DPI]
P2 --> D1
P3 --> D2[流级分析]
D1 --> D3[协议解析]
D3 --> D4[JA3/JA4指纹]
D3 --> D5[异常检测]
D5 --> D6[行为分析]
D2 --> D7[流量基线]
D7 --> D8[DGA 检测]
D4 --> D9[加密流量检测]
D6 --> D10[横向移动检测]
end
subgraph 输出
D9 --> O1[告警]
D10 --> O1
D8 --> O2[威胁狩猎]
D6 --> O3[溯源分析]
end
style D1 fill:#e3f2fd,stroke:#1565c0
style O1 fill:#fce4ec,stroke:#c62828
5.2 NDR 检测技术
| 技术 | 说明 | 检测能力 | 性能影响 |
|---|---|---|---|
| 深度包检测 (DPI) | 完整数据包解析 | 高 | 高 |
| NetFlow 分析 | 流级元数据分析 | 中 | 低 |
| TLS 指纹 | JA3/JA4/TLS Server Hello | 中 | 低 |
| DNS Tunnel | DNS 查询频率/编码分析 | 高 | 中 |
| 协议异常 | 协议状态机检测 | 高 | 中 |
| 加密流量检测 | MITM/ JA3 指纹 | 中 | 高 |
| 横向移动 | SMB/RDP 异常模式 | 高 | 中 |
5.3 NDR 产品对比
| 产品 | 厂商 | 架构 | 覆盖协议 | 元数据保留 | AI 能力 | 部署 |
|---|---|---|---|---|---|---|
| Darktrace | Darktrace | 云端/本地 | 300+ | 90天 | Antigena AI | 需要硬件 |
| Vectra | Sentinel | SaaS/本地 | 主要协议 | 180天 | AI Detect | 需要硬件 |
| ExtraHop | ExtraHop | 云/本地 | 全协议 | 30天 | 行为分析 | 需要硬件 |
| Cisco Secure | Cisco | 云/本地 | 全协议 | 90天 | Tetration 集成 | 硬件/虚拟 |
| Stellar Cyber | Stellar | SaaS/本地 | 全协议 | 90天 | 内置 ML | 虚拟 |
| 华为 HiSec | 华为 | 本地 | 全协议 | 30天 | AI 检测 | 硬件 |
| 启明星辰 | 启明 | 本地 | 主要协议 | 30天 | 规则+AI | 硬件/软件 |
| 绿盟科技 | 绿盟 | 本地 | 主要协议 | 30天 | AI | 硬件/软件 |
5.4 NDR 检测规则
规则名称: DNS_Tunneling_Detection
条件:
- DNS 查询频率 > 50次/分钟
- 子域名长度 > 30字符
- TXT 记录查询异常
- 域名不在白名单
严重级别: High
数据源: DNS logs, NetFlow
规则名称: C2_Beaconing_Detection
条件:
- 同一外部 IP 持续连接 >= 10次
- 请求间隔标准差 < 10% (固定心跳)
- 请求大小标准差 < 20%
- JA3 不在已知白名单
严重级别: Critical
数据源: NDR Flow Data, TLS Metadata
规则名称: Lateral_Movement_SMB
条件:
- SMB 横向复制文件
- SMB 连接来自非授权主机
- 连接时间在非工作时间
严重级别: High
数据源: NDR Deep Packet Inspection六、XDR 产品体系
6.1 XDR vs EDR vs NDR
| 维度 | EDR | NDR | XDR |
|---|---|---|---|
| 覆盖范围 | 终端 | 网络 | 端+网+云+身份 |
| 检测能力 | 行为分析 | 流量分析 | 跨层关联 |
| 关联分析 | 单主机 | 单网络 | 跨域关联 |
| 响应速度 | 实时 | 分钟级 | 实时 |
| 部署复杂度 | 中 | 高 | 高 |
| 总体成本 | 中 | 中高 | 高 |
| 适用场景 | 终端安全 | 网络安全 | 统一安全运营 |
6.2 XDR 架构详解
原生 XDR vs Open XDR:
graph TB
subgraph 原生_XDR["原生 XDR (Native XDR)"]
P1["统一数据湖"] --> P2["单一检测引擎"]
P2 --> P3["统一响应"]
P1 --> A1[EDR]
P1 --> A2[NDR]
P1 --> A3[Email]
P1 --> A4[Cloud]
style P1 fill:#e3f2fd,stroke:#1565c0
style A1 fill:#e8f5e9,stroke:#2e7d32
end
subgraph Open_XDR["Open XDR (Open XDR)"]
O1["多源数据"] --> O2["SIEM 作为中枢"]
O2 --> O3["统一可视化"]
O1 --> B1[EDR A]
O1 --> B2[NDR B]
O1 --> B3[SIEM]
O1 --> B4[TIP]
style O2 fill:#fff3e0,stroke:#e65100
end
6.3 XDR 产品对比
| 产品 | 类型 | 厂商 | 优势 | 劣势 | 定价 |
|---|---|---|---|---|---|
| Palo Alto XDR | 原生 | Palo Alto | Cortex 平台整合、最完整 | 价格高 | 高 |
| Microsoft Defender XDR | 原生 | Microsoft | Windows/Azure 深度集成 | 限于 MS 生态 | 含在 M365 |
| CrowdStrike Falcon | 原生 | CrowdStrike | 端点领先、AI 能力 | 网络覆盖弱 | 高 |
| Splunk XDR | Open | Splunk | 灵活性高、生态好 | 需要集成配置 | 中高 |
| Sophos XDR | 原生 | Sophos | 简单易用、性价比 | 功能相对基础 | 中 |
| Fortinet FortiXDR | 原生 | Fortinet | Fortinet 生态 | 生态封闭 | 中 |
| Elastic Security | Open | Elastic | 开源、灵活 | 需自建 | 免费+硬件 |
6.4 XDR 选择建议
| 场景 | 推荐方案 | 说明 |
|---|---|---|
| 纯 Windows 环境 | Microsoft Defender XDR | 深度集成、成本低 |
| 多云环境 | Palo Alto XDR / Splunk XDR | 跨云覆盖 |
| 已有 SIEM | Open XDR (Splunk/Elastic) | 与现有 SIEM 集成 |
| 预算有限 | Sophos XDR / Elastic Security | 开源免费 |
| 端点优先 | CrowdStrike Falcon + NDR | 端点领先+网络补充 |
七、态势感知平台
7.1 态势感知能力模型
四层架构:
graph TB
subgraph L1[数据采集层]
D1[网络流量] --> D4[统一数据湖]
D2[终端日志] --> D4
D3[应用日志] --> D4
D5[云日志] --> D4
end
subgraph L2[分析处理层]
D4 --> A1[实时流处理]
D4 --> A2[批处理分析]
A1 --> A3[规则引擎]
A2 --> A4[AI/ML引擎]
A3 --> A5[关联分析]
end
subgraph L3[态势感知层]
A5 --> S1[全局态势]
A5 --> S2[威胁评估]
A5 --> S3[趋势预测]
S1 --> S4[可视化大屏]
S2 --> S4
S3 --> S4
end
subgraph L4[响应处置层]
S4 --> R1[自动响应]
S4 --> R2[工单派发]
S4 --> R3[联动封锁]
R1 --> R4[SOAR]
R3 --> R5[防火墙]
end
7.2 态势感知核心指标
| 指标 | 定义 | 计算方法 | 目标 |
|---|---|---|---|
| 资产覆盖率 | 已纳管资产 / 总资产 | 100% × 已纳管 ÷ 总资产 | > 95% |
| 日志完整率 | 关键资产日志覆盖率 | 100% × 有日志 ÷ 关键资产 | > 99% |
| 告警响应率 | 及时响应告警 / 总告警 | 100% × 及时响应 ÷ 总告警 | > 90% |
| 平均检测时间 | MTTD | Σ 检测时间 ÷ 事件数 | < 10 分钟 |
| 平均响应时间 | MTTR | Σ 响应时间 ÷ 事件数 | < 1 小时 |
| 威胁狩猎命中率 | 狩猎发现 / 狩猎总数 | 100% × 发现 ÷ 总狩猎 | > 30% |
7.3 国内态势感知产品对比
| 产品 | 厂商 | 架构 | 核心能力 | AI 能力 | 等保合规 |
|---|---|---|---|---|---|
| 启明星辰态势感知 3.0 | 启明 | 分布式 | 全域态势、威胁情报 | 内置 | ✅ 完整 |
| 深信服安全态势感知 | 深信服 | 轻量化 | 简化部署、云端托管 | 基础 | ✅ 基础 |
| 绿盟科技态势感知 | 绿盟 | 分布式 | 流量分析、AI 检测 | 较强 | ✅ 完整 |
| 奇安信天眼 | 奇安信 | 分布式 | 网络安全、威胁情报 | 较强 | ✅ 完整 |
| 安恒信息态势感知 | 安恒 | 云化 | 云端分析、自动化 | 中等 | ✅ 完整 |
| 华为 CIS | 华为 | 分布式 | 智能分析、协同响应 | 强 | ✅ 完整 |
八、云安全体系
8.1 云安全产品分类
| 类别 | 核心能力 | 代表产品 |
|---|---|---|
| CWPP | 云工作负载保护 | Prisma Cloud, Wiz, 阿里云安全 |
| CSPM | 云安全态势管理 | Prisma Cloud, CloudGuard, 阿里云 CSPM |
| CASB | 云访问安全代理 | Netskope, Microsoft Defender for Cloud Apps |
| CNAPP | 云原生应用保护 | Prisma Cloud, Wiz (整合 CWPP+CSPM+CASB) |
8.2 CNAPP 架构
graph TB
subgraph CNAPP 统一平台
C1[资产发现
CSPM] --> C2[配置检查
CSPM]
C1 --> C3[工作负载保护
CWPP]
C1 --> C4[数据安全
CASB]
C1 --> C5[身份安全
ICI]
C2 --> C6[合规评估]
C3 --> C7[运行时保护]
C4 --> C8[数据分类]
C5 --> C9[权限分析]
C6 --> C10[统一态势]
C7 --> C10
C8 --> C10
C9 --> C10
end
8.3 云安全产品对比
| 产品 | 类型 | 厂商 | 覆盖云 | 定价模式 |
|---|---|---|---|---|
| Prisma Cloud | CNAPP | Palo Alto | AWS/Azure/GCP | 订阅/资产 |
| Wiz | CNAPP | Wiz | AWS/Azure/GCP | 订阅/项目 |
| Microsoft Defender for Cloud | CSPM+CWPP | Microsoft | Azure/AWS/GCP | 订阅/资源 |
| Palo Alto Prisma Access | CASB | Palo Alto | SaaS | 订阅/用户 |
| Netskope | CASB | Netskope | SaaS/IaaS | 订阅/用户 |
| 阿里云安全中心 | CNAPP | 阿里云 | 阿里云 | 订阅/资源 |
| 腾讯云安全运营中心 | CSPM | 腾讯云 | 腾讯云 | 订阅/主机 |
九、安全产品集成架构
9.1 数据集成流向
graph LR
subgraph 数据源
S1[边界设备
FW/WAF/邮件网关]
S2[终端设备
EDR/AV]
S3[网络设备
NDR/交换机]
S4[身份系统
IAM/AD]
S5[云服务
云日志/CWPP]
end
subgraph SIEM (数据中枢)
S1 -->|"Syslog/CEF"| SIEM
S2 -->|"Agent/API"| SIEM
S3 -->|"NetFlow/SPAN"| SIEM
S4 -->|"API/LDAP"| SIEM
S5 -->|"API/日志"| SIEM
end
SIEM -->|"告警"| SOAR
SIEM -->|"富化"| TIP
subgraph 响应层
SOAR -->|"剧本执行"| EDR
SOAR -->|"封锁"| FW
SOAR -->|"工单"| ITSM
EDR -->|"终端状态"| SOAR
FW -->|"日志"| SIEM
end
subgraph 情报层
TIP -->|"IOC/TTP"| SIEM
TIP -->|"情报富化"| SOAR
SIEM -->|"检测日志"| TIP
end
style SIEM fill:#e3f2fd,stroke:#1565c0
style SOAR fill:#e8f5e9,stroke:#2e7d32
style TIP fill:#fff3e0,stroke:#e65100
9.2 关键集成模式
SIEM + EDR 集成:
| 集成内容 | 技术方案 | 数据格式 |
|---|---|---|
| 终端事件 | EDR API → SIEM | CEF/Syslog |
| 告警同步 | SIEM → EDR | API |
| 响应联动 | SOAR → EDR | API |
| 隔离操作 | SOAR → EDR | API |
SIEM + TIP 集成:
| 集成内容 | 技术方案 | 协议 |
|---|---|---|
| 情报订阅 | TAXII 推送 | STIX/TAXII 2.1 |
| IOC 查询 | STIX Pattern | TAXII Poll |
| 告警富化 | API | REST/JSON |
| 共享发布 | MISP 同步 | MISP JSON |
9.3 集成最佳实践
| 场景 | 推荐方案 | 说明 |
|---|---|---|
| EDR + SIEM | CEF/Syslog + API | 终端事件集中分析 |
| NDR + SIEM | IPFIX/NetFlow + SPAN | 网络流量关联分析 |
| SOAR + EDR | 原生集成/API | 自动化终端响应 |
| SOAR + FW | API/SSH | 自动化边界封锁 |
| SOAR + 邮件安全 | API | 自动封禁钓鱼邮件 |
| SIEM + TIP | TAXII/STIX | 自动化威胁情报同步 |
| SIEM + ITSM | Webhook/API | 自动化工单创建 |
| 多产品协同 | SOAR 作为编排层 | 统一协调各产品 |
十、产品选型方法论
10.1 选型评估矩阵
| 维度 | 权重 | 评估要点 | 评估方法 |
|---|---|---|---|
| 功能匹配 | 25% | 需求覆盖度、ATT&CK 覆盖 | POC 验证 |
| 检测能力 | 25% | 准确率、误报率、漏报率 | 红队测试 |
| 集成能力 | 20% | API、标准化、日志兼容 | 集成测试 |
| 运维成本 | 15% | 学习曲线、人力需求、硬件需求 | TCO 估算 |
| 总体成本 | 15% | 采购、维护、扩展 | 5 年 TCO |
10.2 POC 测试标准
检测能力测试:
| 测试场景 | 攻击手法 | 检测要求 | 评分标准 |
|---|---|---|---|
| 勒索软件 | 勒索软件模拟执行 | 5 分钟内告警 | 100% 检测 |
| 无文件攻击 | PowerShell 攻击模拟 | 实时告警 | 100% 检测 |
| 横向移动 | SMB/RDP 横向模拟 | 5 分钟内告警 | > 90% 检测 |
| 凭据窃取 | Mimikatz 模拟 | 实时告警 | 100% 检测 |
| C2 通信 | C2 Beacon 模拟 | 10 分钟内告警 | > 95% 检测 |
响应能力测试:
| 测试场景 | 测试内容 | 要求 | 评分标准 |
|---|---|---|---|
| 隔离速度 | 终端隔离命令 | < 1 分钟完成 | 必须项 |
| 剧本执行 | 自动化响应剧本 | 成功执行 | 100% 成功 |
| 误报测试 | 正常业务操作 | 不触发告警 | < 5% 误报 |
| 并发处理 | 大量告警同时触发 | 正常处理 | > 1000 EPS |
10.3 总体拥有成本 (TCO) 计算
5 年 TCO 估算模型:
| 成本项 | 第一年 | 后续年度 | 说明 |
|---|---|---|---|
| 软件许可/订阅 | 基础费用 | 续费费用 | 通常首年含首年费用 |
| 硬件基础设施 | 服务器/存储/网络 | 无 (云服务按需) | 传统部署模式 |
| 实施服务 | 部署/集成/培训 | 升级/优化 | 通常为首年费用 |
| 运维人力 | 1-2 FTE | 0.5-1 FTE | 取决于自动化程度 |
| 培训认证 | 认证培训 | 持续学习 | 每年认证费用 |
| 应急响应 | 应急响应服务 | 年度服务 | 建议包含 |
十一、产品组合推荐
11.1 企业规模推荐
| 企业规模 | SOC 类型 | 推荐产品组合 |
|---|---|---|
| 小型 (< 500 人) | MSSP 或 虚拟 SOC | XDR + 云 SIEM |
| 中型 (500-2000 人) | 内部 SOC (5-10 人) | SIEM + SOAR + EDR + NDR |
| 大型 (2000-10000 人) | 内部 SOC (10-30 人) | 企业 SIEM + SOAR + EDR + NDR + TIP |
| 超大型 (> 10000 人) | 大型 SOC (30+ 人) | 分布式 SIEM + SOAR + 多 EDR + NDR + TIP + CSPM |
11.2 行业推荐
| 行业 | 合规要求 | 推荐产品 | 重点功能 |
|---|---|---|---|
| 金融 | 等保三级、PCI-DSS | SIEM + EDR + DAM + DLP | 审计、合规、大屏 |
| 政府 | 等保三级 | SIEM + EDR + SOC 平台 | 国产化、等保合规 |
| 医疗 | HIPAA、等保 | SIEM + EDR + DLP | 数据安全、患者隐私 |
| 教育 | 等保二级/三级 | 态势感知 + EDR | 简化运维 |
| 互联网 | 无特殊 | XDR + 云 SIEM | 敏捷 DevOps |
11.3 场景化推荐
| 场景 | 痛点 | 推荐方案 | 目标 |
|---|---|---|---|
| 勒索防护 | 勒索攻击频发 | EDR + NDR + 备份 | 早期检测、快速响应 |
| 数据合规 | 数据安全法合规 | SIEM + DLP + DAM | 全面审计、敏感数据保护 |
| 远程办公 | 零信任需求 | ZTNA + EDR + SIEM | 身份认证、终端安全 |
| 云迁移 | 云安全盲点 | CSPM + CWPP + CASB | 云安全态势、运行时保护 |
| 供应链安全 | 第三方风险 | SIEM + TIP + EDR | 第三方监控、情报预警 |
十二、参考链接
| 资源 | 链接 |
|---|---|
| Gartner SIEM 魔力象限 | https://www.gartner.com/smarterwithgartner/how-to-choose-a-siem-platform |
| Gartner XDR 市场指南 | https://www.gartner.com/doc/reprints?id=1XXXXXXXXX |
| MITRE ATT&CK Evaluations | https://attackevals.mitre.org/ |
| MITRE Engenuity | https://mitre-engenuity.org/ |
| NDR 产品评测 | https://www.networkdetectionresponse.com/ |
| XDR 对比分析 | https://www.forrester.com/search/?term=XDR |
Last updated: 2026-06-02