0%

安全产品体系

03. 安全产品体系

智能安全事件可观测性 · 产品体系参考


一、安全产品全景图

1.1 产品分类架构

graph TB subgraph 安全产品全景 direction TB P1[边界安全] --> P1a[防火墙 FW] P1 --> P1b[Web应用防火墙 WAF] P1 --> P1c[入侵检测/防御 IDS/IPS] P1 --> P1d[VPN/零信任网关] P2[终端安全] --> P2a[端点检测响应 EDR] P2 --> P2b[防病毒 AV] P2 --> P2c[终端管控 EPM] P2 --> P2d[主机入侵检测 HIDS] P3[网络安全] --> P3a[网络检测响应 NDR] P3 --> P3b[全流量分析 NTA] P3 --> P3c[网络取证 Nair] P3 --> P3d[负载均衡 SLB] P4[身份安全] --> P4a[身份管理 IAM] P4 --> P4b[特权管理 PAM] P4 --> P4c[零信任 ZTNA] P4 --> P4d[多因素认证 MFA] P5[应用安全] --> P5a[代码审计 SAST] P5 --> P5b[动态测试 DAST] P5 --> P5c[运行时应用自保护 RASP] P5 --> P5d[API 安全] P6[数据安全] --> P6a[数据防泄露 DLP] P6 --> P6b[数据库安全审计 DAM] P6 --> P6c[加密与密钥管理] P6 --> P6d[备份与容灾] P7[安全运营] --> P7a[安全信息与事件管理 SIEM] P7 --> P7b[安全编排自动化响应 SOAR] P7 --> P7c[威胁情报平台 TIP] P7 --> P7d[态势感知平台] P8[云安全] --> P8a[云工作负载保护 CWPP] P8 --> P8b[云安全态势管理 CSPM] P8 --> P8c[云访问安全代理 CASB] end style P7 fill:#e3f2fd,stroke:#1565c0 style P8 fill:#f3e5f5,stroke:#7b1fa2

1.2 产品能力矩阵

产品类别 核心能力 代表产品 检测能力 响应能力 覆盖范围 部署模式
SIEM 日志统一分析、关联分析 Splunk, QRadar ⭐⭐⭐⭐ ⭐⭐ 全局 SaaS/On-Prem
SOAR 自动化响应、剧本编排 XSOAR ⭐⭐⭐ ⭐⭐⭐⭐⭐ 全局 SaaS/On-Prem
EDR 终端检测响应、行为分析 CrowdStrike ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ 终端 SaaS
NDR 网络检测响应、全流量 Darktrace ⭐⭐⭐⭐ ⭐⭐⭐ 网络 On-Prem/SaaS
XDR 跨层检测响应、关联分析 Microsoft ⭐⭐⭐⭐ ⭐⭐⭐⭐ 跨层 SaaS
态势感知 全局态势、威胁情报 启明、深信服 ⭐⭐⭐⭐ ⭐⭐⭐ 全局 On-Prem/SaaS
TIP 威胁情报收集、关联、分发 MISP ⭐⭐⭐ ⭐⭐ 情报 开源/SaaS
CASB 云应用安全、策略执行 Netskope ⭐⭐⭐⭐ ⭐⭐⭐ SaaS
CSPM 云安全态势、合规检查 Prisma Cloud ⭐⭐⭐ ⭐⭐⭐ SaaS

二、SIEM 产品体系

2.1 SIEM 核心架构

graph TB subgraph 数据源层 NW[网络设备] HOST[主机/服务器] APP[应用程序] SEC[安全设备] CLOUD[云服务] BIZ[业务系统] end subgraph 数据采集层 AGENT[Agent 安装代理] SYSLOG[Syslog 日志收集] API[API 接口对接] PROTOCOL[协议 JDBC/文件] end subgraph 数据存储层 WAREHOUSE[日志仓库 Search] TSDB[时序数据库 InfluxDB] ES[搜索引擎 Elasticsearch] OBJ[对象存储 S3/MinIO] end subgraph 分析引擎层 RULE[规则引擎 实时告警] CORR[关联引擎 跨源关联] AIML[AI/ML引擎 异常检测] HUNT[威胁狩猎 主动发现] end subgraph 应用展示层 DASH[监控仪表盘] ALERT[告警管理] INVEST[调查取证] COMPLY[合规报表] ASSET[资产地图] end NW --> AGENT HOST --> AGENT APP --> SYSLOG SEC --> SYSLOG CLOUD --> API BIZ --> PROTOCOL AGENT --> WAREHOUSE SYSLOG --> TSDB API --> ES PROTOCOL --> OBJ WAREHOUSE --> RULE TSDB --> CORR ES --> AIML OBJ --> HUNT RULE --> DASH CORR --> ALERT AIML --> INVEST HUNT --> COMPLY style NW fill:#e3f2fd,stroke:#1565c0 style HOST fill:#e3f2fd,stroke:#1565c0 style APP fill:#e3f2fd,stroke:#1565c0 style SEC fill:#e3f2fd,stroke:#1565c0 style CLOUD fill:#e3f2fd,stroke:#1565c0 style BIZ fill:#e3f2fd,stroke:#1565c0 style AGENT fill:#e8f5e9,stroke:#2e7d32 style SYSLOG fill:#e8f5e9,stroke:#2e7d32 style API fill:#e8f5e9,stroke:#2e7d32 style PROTOCOL fill:#e8f5e9,stroke:#2e7d32 style RULE fill:#fff3e0,stroke:#e65100 style CORR fill:#fff3e0,stroke:#e65100 style AIML fill:#fff3e0,stroke:#e65100 style HUNT fill:#fff3e0,stroke:#e65100

2.2 SIEM 技术深度解析

日志归一化(Normalization):

阶段 说明 技术要点
采集 多源日志收集 Syslog/CEF/JSON/WMI
解析 结构化解析 正则解析、字段映射
标准化 统一字段格式 时间戳标准化、IP 格式统一
富化 增加上下文 Asset 关联、威胁情报
存储 高效存储 压缩、索引、分区

日志格式标准化:

# CEF (Common Event Format)
CEF:Version|DeviceVendor|DeviceProduct|DeviceVersion|SignatureID|Name|Severity|Extension

# 示例
CEF:0|SecurityVendor|ProductName|1.0|100|Login Success|5|src=192.168.1.100 dst=10.0.0.1

# OCSF (Open Cybersecurity Schema Framework)
{
  "Version": "1.0",
  "EventTime": "2026-06-02T10:00:00Z",
  "EventType": "USER_LOGIN",
  "Actor": {"Name": "admin", "Type": "USER"},
  "Target": {"Name": "server01", "Type": "HOST"},
  "Outcome": "SUCCESS"
}

2.3 SIEM 产品详细对比

产品 厂商 部署 存储架构 日志吞吐 定价模式 适用规模
Splunk Enterprise Splunk On-Prem/SaaS 分布式索引 100GB+/天 容量许可 大型企业
Splunk Cloud Splunk SaaS 托管 按需 SaaS 订阅 中大型
IBM QRadar IBM On-Prem/SaaS Apache Cassandra 50GB+/天 固定+容量 大型企业
Microsoft Sentinel Microsoft SaaS Azure Data Explorer 无限制 按 ingestion 计费 云优先
Elastic Security Elastic On-Prem/SaaS Elasticsearch 取决于硬件 开源免费 中小型
Sumo Logic Sumo Logic SaaS 专有 按需 SaaS 订阅 中型企业
Chronicle Google SaaS 专有 无限 固定订阅 大型企业
阿里云日志服务 阿里云 SaaS 专有 按需 按量计费 云用户
华为云 SecStage 华为 SaaS/On-Prem 专有 中等 固定+容量 华为云用户
启明星辰 LSP 启明 On-Prem 专有 中等 固定 国内企业

Splunk vs ELK vs Sentinel 对比:

维度 Splunk Elastic Stack (ELK) Microsoft Sentinel
优点 功能强大、生态丰富 开源免费、灵活 云原生、Azure 深度集成
缺点 成本高、学习曲线陡 扩展需自建、运维复杂 离开 Azure 功能受限
日志搜索 SPL 语言、功能强大 Lucene 查询 KQL 语言
机器学习 内置 MLTK ML 插件 内置 Azure ML
SOAR 集成 内置 SOAR 需集成 TheHive 内置 XSOAR
威胁情报 内置 + 第三方 需集成 内置 Azure TI
定价 按容量 TB 免费(开源)+ 硬件 按数据量 GB

2.4 SIEM 部署模式

分布式部署架构:

graph TB subgraph 总部数据中心 CORE[SIEM Core Cluster 搜索头 + 索引节点] SEARCH[Search Head Cluster 搜索头集群] INDEX[Indexer Cluster 索引节点集群 3+] HOT[Hot Bucket 热数据] WARM[Warm Bucket 温数据] COLD[Cold Bucket 冷数据] FWD[Forwarder Cluster 转发器集群] HEAVY[Heavy Forwarder 重型转发器-解析] LIGHT[Light Forwarder 轻量转发器-只转发] end subgraph 数据源 APP[应用服务器] DB[数据库] NET[网络设备] end subgraph 分支机构 BRANCH[轻量级 Forwarder 边缘转发] end subgraph 云环境 CLOUD[云专属 Forwarder/HEC 云端转发] end APP --> HEAVY DB --> HEAVY NET --> LIGHT BRANCH --> LIGHT CLOUD --> LIGHT HEAVY --> FWD LIGHT --> FWD FWD --> INDEX SEARCH <--> CORE INDEX --> HOT INDEX --> WARM INDEX --> COLD HOT --> WARM WARM --> COLD CORE --> SEARCH style CORE fill:#e3f2fd,stroke:#1565c0 style SEARCH fill:#e3f2fd,stroke:#1565c0 style INDEX fill:#e3f2fd,stroke:#1565c0 style HOT fill:#fff3e0,stroke:#e65100 style WARM fill:#fff3e0,stroke:#e65100 style COLD fill:#fff3e0,stroke:#e65100 style FWD fill:#e8f5e9,stroke:#2e7d32 style HEAVY fill:#e8f5e9,stroke:#2e7d32 style LIGHT fill:#e8f5e9,stroke:#2e7d32

2.5 SIEM 检测规则示例

暴力破解检测规则:

规则名称: Brute_Force_Login_Detection
数据源: Windows Security Event / Linux Auth Log
条件:
  - 事件类型: 登录失败
  - 统计: 同一账户 10 分钟内失败 >= 5 次
  - 或 同一 IP 10 分钟内失败 >= 10 次
严重级别: High
关联分析:
  - 如果后续出现同一账户成功登录 → 确认入侵
  - 如果 IP 在威胁情报黑名单 → 确认攻击
动作:
  - 告警
  - 创建工单
  - 如满足阈值则自动封锁 IP

横向移动检测规则:

规则名称: Lateral_Movement_Detection
数据源: Windows Security Event / Sysmon
条件:
  - 事件: 新建 SMB 连接
  - 从工作站连接服务器
  - 连接时间在工作时间外
  - 连接频率异常高
严重级别: Critical
关联分析:
  - 检查同一会话是否有凭据访问行为
  - 检查是否访问敏感共享目录
  - 检查目标系统是否有其他异常

三、SOAR 产品体系

3.1 SOAR 核心能力

三大核心模块:

graph LR subgraph SOAR 三大模块 S1[安全编排 Orchestration] --> S4[统一调度引擎] S2[自动化 Automation] --> S4 S3[响应 Response] --> S4 end subgraph SOAR 功能矩阵 S4 --> F1[剧本编排 Playbook Editor] S4 --> F2[任务执行 Task Automation] S4 --> F3[告警分类 Alert Triage] S4 --> F4[工单管理 Case Management] S4 --> F5[案例管理 Investigation] S4 --> F6[威胁情报 Threat Intel] S4 --> F7[协作 Collaboration] S4 --> F8[报告 Reporting] end style S1 fill:#e3f2fd,stroke:#1565c0 style S2 fill:#e8f5e9,stroke:#2e7d32 style S3 fill:#fff3e0,stroke:#e65100

3.2 SOAR 剧本架构

剧本结构详解:

剧本名称: Phishing_Response_Playbook
版本: 2.1
触发条件: SIEM/EDR 告警 (钓鱼邮件检测)

全局变量:
  analyst_team: soc_team@company.com
  triage_channel: "#soc-phishing"
  max_isolation_time: 60  # 分钟

步骤:
  
  Step 1: 告警分类
    任务:
      - 提取邮件元数据 (发件人、主题、时间)
      - 提取附件信息 (文件名、哈希、类型)
      - 提取链接信息 (URL、域名)
      - 检查发件人域名信誉
    输出:
      - email_metadata
      - attachments[]
      - urls[]
      - sender_reputation
      
  Step 2: 威胁情报查询
    任务:
      - 查询邮件哈希 (VirusTotal, AlienVault)
      - 查询 URL (Google Safe Browsing, URLhaus)
      - 查询发件人 IP (AbuseIPDB, Cisco Talos)
    动作:
      - 如果命中恶意情报 → 标记为 True Positive
    输出:
      - ioc_matches[]
      
  Step 3: 邮件分析
    任务:
      - 重构邮件头分析
      - SPF/DKIM/DMARC 验证
      - 沙箱执行附件/链接
    动作:
      - 如果沙箱检测到恶意行为 → 标记为 True Positive
    输出:
      - email_analysis
      
  Step 4: 用户确认
    任务:
      - 查询邮件收件人列表
      - 通知收件人 (如有)
      - 请求用户确认是否点击链接
    等待:
      - 用户响应 (超时: 30分钟)
    输出:
      - user_acknowledgment
      
  Step 5: 响应处置
    分支:
      
      如果 命中恶意情报 OR 沙箱检测 OR 用户点击:
        任务:
          - 隔离邮件 (从所有邮箱删除)
          - 隔离相关主机
          - 收集主机证据 (进程列表、网络连接、注册表)
          - 封锁发件人域名
        动作:
          - 通知安全运营经理
          - 创建 P1 事件工单
          - 启动取证调查流程
        
      否则 如果 无命中且用户未点击:
        任务:
          - 标记为 False Positive
          - 关闭告警
          - 记录情报反馈
          
  Step 6: 事后分析
    任务:
      - 生成事件摘要
      - 更新威胁情报
      - 识别邮件防御缺口
      - 建议用户安全培训

3.3 SOAR 产品对比

产品 厂商 架构 剧本数 集成数 AI 能力 定价
Palo Alto XSOAR Palo Alto 微服务 700+ 内置 700+ 内置 Copilot
Splunk SOAR Splunk 容器化 500+ 内置 400+ Splunk AI
TheHive TheHive Project 单体 自定义 50+ 需集成 Cortex 中 (开源免费)
Shuffle Shuffle AB 云原生 自定义 100+ 支持 中 (开源免费)
Siemplify Google (已收购) 云原生 300+ 200+ Chronicle 集成 中高
IBM SOAR IBM 混合 200+ 300+ IBM Watson
Rapid7 InsightConnect Rapid7 SaaS 100+ 200+

3.4 SOAR 最佳实践

剧本设计原则:

原则 说明 反面示例
单一职责 每个剧本只处理一种场景 "通用响应剧本" 处理所有场景
可重复执行 幂等设计,可安全重跑 写入操作不可重跑
人工确认点 高风险操作需人工审批 自动删除数据、自动大规模隔离
超时处理 设置合理的超时时间 无限等待外部系统响应
错误处理 捕获异常、优雅降级 任何错误导致整个剧本失败
日志记录 记录关键操作和决策 "静默执行" 无记录

剧本审核清单:

审核项:
  - [ ] 高风险操作是否有人工确认?
  - [ ] 操作是否幂等 (可安全重跑)?
  - [ ] 是否有适当的超时设置?
  - [ ] 是否记录完整的操作日志?
  - [ ] 是否处理了所有可能的分支?
  - [ ] 是否有错误处理和降级策略?
  - [ ] 是否符合最小权限原则?
  - [ ] 是否在测试环境验证过?

四、EDR 产品体系

4.1 EDR 核心能力详解

EDR 五部曲:

graph TB E1[Detect 检测] --> E2[Investigate 调查] E2 --> E3[Hunt 狩猎] E3 --> E4[Contain 遏制] E4 --> E5[Remediate 修复] E1 -->|"持续监控"| E1a[行为采集] E1 -->|"实时告警"| E1b[异常检测] E1 -->|"威胁情报"| E1c[IOC匹配] E2 -->|"时间线"| E2a[进程链分析] E2 -->|"关联"| E2b[跨主机关联] E2 -->|"上下文"| E2c[ATT&CK映射] style E1 fill:#e3f2fd,stroke:#1565c0 style E2 fill:#e8f5e9,stroke:#2e7d32 style E3 fill:#fff3e0,stroke:#e65100 style E4 fill:#fce4ec,stroke:#c62828 style E5 fill:#f3e5f5,stroke:#7b1fa2

4.2 EDR 检测技术深度

检测引擎类型:

技术 说明 检测能力 性能影响 代表厂商
签名检测 哈希/模式匹配 已知威胁 传统 AV
行为检测 进程/文件/网络行为 未知威胁 Carbon Black
AI/ML 检测 机器学习模型 异常行为 CrowdStrike
云端检测 云端实时分析 全面 低 (终端轻量) 主流 EDR
内存检测 内存注入/无文件 高级威胁 SentinelOne

MITRE ATT&CK 覆盖率对比(2024):

战术 CrowdStrike SentinelOne Microsoft Carbon Black
初始访问 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
执行 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐
持久化 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐
权限提升 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
防御规避 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
凭据访问 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
发现 ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
横向移动 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
命令控制 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐
影响 ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐

4.3 EDR 产品对比

产品 架构 存储 检测方式 响应能力 隔离速度 定价
CrowdStrike Falcon 云原生 SaaS 云端 AI+行为+签名 实时隔离 < 1 秒 高 (按终端/年)
SentinelOne 分布式 端+云 行为+AI+静态 自动化 < 1 秒 中高
Microsoft Defender 集成 Windows 云端 AI+ML 原生集成 内置 中 (含 M365)
Carbon Black 云原生 云端 行为分析 API 集成 < 30 秒 中高
Sophos 分布式 端+云 ML+行为 自愈能力 自动
Trellix (McAfee) 混合 端+云 行为+NLP 多引擎 中高
卡巴斯基 EDR 混合 端+云 行为+规则 专业响应 < 1 分钟 中高
奇安信天眼 On-Prem/SaaS 端+云 规则+AI 联动响应 依赖设备

4.4 EDR 关键检测规则

无文件攻击检测:

规则名称: Fileless_Attack_Detection
检测逻辑:
  - 父进程 ∈ [explorer, outlook, winword, excel, iexplore, chrome]
  - 子进程 ∈ [powershell, cmd, wscript, cscript, mshta, rundll32]
  - 条件: 命令行包含 (-enc, -encoded, DownloadString, Invoke-Expression)
  - 条件: 无对应的 .ps1/.bat 文件存在
严重级别: High
数据源: EDR Process Events, Sysmon Event ID 1

规则名称: WMI_Persistence_Detection
检测逻辑:
  - 事件源: Microsoft-Windows-WMI-Activity/Operational
  - 操作类型: Module 加载
  - 筛选器/消费者存在性异常
严重级别: High
数据源: Windows WMI Event Log

勒索软件检测:

规则名称: Ransomware_Behavior_Detection
检测逻辑:
  - 行为: 进程在 1 分钟内操作 > 100 个文件
  - 行为: 文件扩展名变更模式匹配 (*.locked, *.encrypted, *.crypto)
  - 行为: 卷影删除命令执行 (vssadmin delete shadows, wbadmin delete catalog)
  - 行为: 尝试停止安全服务 (windefend, wscsvc, mpssvc)
严重级别: Critical
动作:
  - 立即隔离主机
  - 保存进程树
  - 触发勒索响应预案
数据源: EDR File Events, Windows System Log

五、NDR 产品体系

5.1 NDR 核心能力

全流量分析架构:

graph TB subgraph 数据采集 P1[网络分流器 TAP/SPAN] P2[全流量镜像] P3[NetFlow/sFlow] end subgraph 检测引擎 P1 --> D1[深度包检测 DPI] P2 --> D1 P3 --> D2[流级分析] D1 --> D3[协议解析] D3 --> D4[JA3/JA4指纹] D3 --> D5[异常检测] D5 --> D6[行为分析] D2 --> D7[流量基线] D7 --> D8[DGA 检测] D4 --> D9[加密流量检测] D6 --> D10[横向移动检测] end subgraph 输出 D9 --> O1[告警] D10 --> O1 D8 --> O2[威胁狩猎] D6 --> O3[溯源分析] end style D1 fill:#e3f2fd,stroke:#1565c0 style O1 fill:#fce4ec,stroke:#c62828

5.2 NDR 检测技术

技术 说明 检测能力 性能影响
深度包检测 (DPI) 完整数据包解析
NetFlow 分析 流级元数据分析
TLS 指纹 JA3/JA4/TLS Server Hello
DNS Tunnel DNS 查询频率/编码分析
协议异常 协议状态机检测
加密流量检测 MITM/ JA3 指纹
横向移动 SMB/RDP 异常模式

5.3 NDR 产品对比

产品 厂商 架构 覆盖协议 元数据保留 AI 能力 部署
Darktrace Darktrace 云端/本地 300+ 90天 Antigena AI 需要硬件
Vectra Sentinel SaaS/本地 主要协议 180天 AI Detect 需要硬件
ExtraHop ExtraHop 云/本地 全协议 30天 行为分析 需要硬件
Cisco Secure Cisco 云/本地 全协议 90天 Tetration 集成 硬件/虚拟
Stellar Cyber Stellar SaaS/本地 全协议 90天 内置 ML 虚拟
华为 HiSec 华为 本地 全协议 30天 AI 检测 硬件
启明星辰 启明 本地 主要协议 30天 规则+AI 硬件/软件
绿盟科技 绿盟 本地 主要协议 30天 AI 硬件/软件

5.4 NDR 检测规则

规则名称: DNS_Tunneling_Detection
条件:
  - DNS 查询频率 > 50次/分钟
  - 子域名长度 > 30字符
  - TXT 记录查询异常
  - 域名不在白名单
严重级别: High
数据源: DNS logs, NetFlow

规则名称: C2_Beaconing_Detection
条件:
  - 同一外部 IP 持续连接 >= 10次
  - 请求间隔标准差 < 10% (固定心跳)
  - 请求大小标准差 < 20%
  - JA3 不在已知白名单
严重级别: Critical
数据源: NDR Flow Data, TLS Metadata

规则名称: Lateral_Movement_SMB
条件:
  - SMB 横向复制文件
  - SMB 连接来自非授权主机
  - 连接时间在非工作时间
严重级别: High
数据源: NDR Deep Packet Inspection

六、XDR 产品体系

6.1 XDR vs EDR vs NDR

维度 EDR NDR XDR
覆盖范围 终端 网络 端+网+云+身份
检测能力 行为分析 流量分析 跨层关联
关联分析 单主机 单网络 跨域关联
响应速度 实时 分钟级 实时
部署复杂度
总体成本 中高
适用场景 终端安全 网络安全 统一安全运营

6.2 XDR 架构详解

原生 XDR vs Open XDR:

graph TB subgraph 原生_XDR["原生 XDR (Native XDR)"] P1["统一数据湖"] --> P2["单一检测引擎"] P2 --> P3["统一响应"] P1 --> A1[EDR] P1 --> A2[NDR] P1 --> A3[Email] P1 --> A4[Cloud] style P1 fill:#e3f2fd,stroke:#1565c0 style A1 fill:#e8f5e9,stroke:#2e7d32 end subgraph Open_XDR["Open XDR (Open XDR)"] O1["多源数据"] --> O2["SIEM 作为中枢"] O2 --> O3["统一可视化"] O1 --> B1[EDR A] O1 --> B2[NDR B] O1 --> B3[SIEM] O1 --> B4[TIP] style O2 fill:#fff3e0,stroke:#e65100 end

6.3 XDR 产品对比

产品 类型 厂商 优势 劣势 定价
Palo Alto XDR 原生 Palo Alto Cortex 平台整合、最完整 价格高
Microsoft Defender XDR 原生 Microsoft Windows/Azure 深度集成 限于 MS 生态 含在 M365
CrowdStrike Falcon 原生 CrowdStrike 端点领先、AI 能力 网络覆盖弱
Splunk XDR Open Splunk 灵活性高、生态好 需要集成配置 中高
Sophos XDR 原生 Sophos 简单易用、性价比 功能相对基础
Fortinet FortiXDR 原生 Fortinet Fortinet 生态 生态封闭
Elastic Security Open Elastic 开源、灵活 需自建 免费+硬件

6.4 XDR 选择建议

场景 推荐方案 说明
纯 Windows 环境 Microsoft Defender XDR 深度集成、成本低
多云环境 Palo Alto XDR / Splunk XDR 跨云覆盖
已有 SIEM Open XDR (Splunk/Elastic) 与现有 SIEM 集成
预算有限 Sophos XDR / Elastic Security 开源免费
端点优先 CrowdStrike Falcon + NDR 端点领先+网络补充

七、态势感知平台

7.1 态势感知能力模型

四层架构:

graph TB subgraph L1[数据采集层] D1[网络流量] --> D4[统一数据湖] D2[终端日志] --> D4 D3[应用日志] --> D4 D5[云日志] --> D4 end subgraph L2[分析处理层] D4 --> A1[实时流处理] D4 --> A2[批处理分析] A1 --> A3[规则引擎] A2 --> A4[AI/ML引擎] A3 --> A5[关联分析] end subgraph L3[态势感知层] A5 --> S1[全局态势] A5 --> S2[威胁评估] A5 --> S3[趋势预测] S1 --> S4[可视化大屏] S2 --> S4 S3 --> S4 end subgraph L4[响应处置层] S4 --> R1[自动响应] S4 --> R2[工单派发] S4 --> R3[联动封锁] R1 --> R4[SOAR] R3 --> R5[防火墙] end

7.2 态势感知核心指标

指标 定义 计算方法 目标
资产覆盖率 已纳管资产 / 总资产 100% × 已纳管 ÷ 总资产 > 95%
日志完整率 关键资产日志覆盖率 100% × 有日志 ÷ 关键资产 > 99%
告警响应率 及时响应告警 / 总告警 100% × 及时响应 ÷ 总告警 > 90%
平均检测时间 MTTD Σ 检测时间 ÷ 事件数 < 10 分钟
平均响应时间 MTTR Σ 响应时间 ÷ 事件数 < 1 小时
威胁狩猎命中率 狩猎发现 / 狩猎总数 100% × 发现 ÷ 总狩猎 > 30%

7.3 国内态势感知产品对比

产品 厂商 架构 核心能力 AI 能力 等保合规
启明星辰态势感知 3.0 启明 分布式 全域态势、威胁情报 内置 ✅ 完整
深信服安全态势感知 深信服 轻量化 简化部署、云端托管 基础 ✅ 基础
绿盟科技态势感知 绿盟 分布式 流量分析、AI 检测 较强 ✅ 完整
奇安信天眼 奇安信 分布式 网络安全、威胁情报 较强 ✅ 完整
安恒信息态势感知 安恒 云化 云端分析、自动化 中等 ✅ 完整
华为 CIS 华为 分布式 智能分析、协同响应 ✅ 完整

八、云安全体系

8.1 云安全产品分类

类别 核心能力 代表产品
CWPP 云工作负载保护 Prisma Cloud, Wiz, 阿里云安全
CSPM 云安全态势管理 Prisma Cloud, CloudGuard, 阿里云 CSPM
CASB 云访问安全代理 Netskope, Microsoft Defender for Cloud Apps
CNAPP 云原生应用保护 Prisma Cloud, Wiz (整合 CWPP+CSPM+CASB)

8.2 CNAPP 架构

graph TB subgraph CNAPP 统一平台 C1[资产发现 CSPM] --> C2[配置检查 CSPM] C1 --> C3[工作负载保护 CWPP] C1 --> C4[数据安全 CASB] C1 --> C5[身份安全 ICI] C2 --> C6[合规评估] C3 --> C7[运行时保护] C4 --> C8[数据分类] C5 --> C9[权限分析] C6 --> C10[统一态势] C7 --> C10 C8 --> C10 C9 --> C10 end

8.3 云安全产品对比

产品 类型 厂商 覆盖云 定价模式
Prisma Cloud CNAPP Palo Alto AWS/Azure/GCP 订阅/资产
Wiz CNAPP Wiz AWS/Azure/GCP 订阅/项目
Microsoft Defender for Cloud CSPM+CWPP Microsoft Azure/AWS/GCP 订阅/资源
Palo Alto Prisma Access CASB Palo Alto SaaS 订阅/用户
Netskope CASB Netskope SaaS/IaaS 订阅/用户
阿里云安全中心 CNAPP 阿里云 阿里云 订阅/资源
腾讯云安全运营中心 CSPM 腾讯云 腾讯云 订阅/主机

九、安全产品集成架构

9.1 数据集成流向

graph LR subgraph 数据源 S1[边界设备 FW/WAF/邮件网关] S2[终端设备 EDR/AV] S3[网络设备 NDR/交换机] S4[身份系统 IAM/AD] S5[云服务 云日志/CWPP] end subgraph SIEM (数据中枢) S1 -->|"Syslog/CEF"| SIEM S2 -->|"Agent/API"| SIEM S3 -->|"NetFlow/SPAN"| SIEM S4 -->|"API/LDAP"| SIEM S5 -->|"API/日志"| SIEM end SIEM -->|"告警"| SOAR SIEM -->|"富化"| TIP subgraph 响应层 SOAR -->|"剧本执行"| EDR SOAR -->|"封锁"| FW SOAR -->|"工单"| ITSM EDR -->|"终端状态"| SOAR FW -->|"日志"| SIEM end subgraph 情报层 TIP -->|"IOC/TTP"| SIEM TIP -->|"情报富化"| SOAR SIEM -->|"检测日志"| TIP end style SIEM fill:#e3f2fd,stroke:#1565c0 style SOAR fill:#e8f5e9,stroke:#2e7d32 style TIP fill:#fff3e0,stroke:#e65100

9.2 关键集成模式

SIEM + EDR 集成:

集成内容 技术方案 数据格式
终端事件 EDR API → SIEM CEF/Syslog
告警同步 SIEM → EDR API
响应联动 SOAR → EDR API
隔离操作 SOAR → EDR API

SIEM + TIP 集成:

集成内容 技术方案 协议
情报订阅 TAXII 推送 STIX/TAXII 2.1
IOC 查询 STIX Pattern TAXII Poll
告警富化 API REST/JSON
共享发布 MISP 同步 MISP JSON

9.3 集成最佳实践

场景 推荐方案 说明
EDR + SIEM CEF/Syslog + API 终端事件集中分析
NDR + SIEM IPFIX/NetFlow + SPAN 网络流量关联分析
SOAR + EDR 原生集成/API 自动化终端响应
SOAR + FW API/SSH 自动化边界封锁
SOAR + 邮件安全 API 自动封禁钓鱼邮件
SIEM + TIP TAXII/STIX 自动化威胁情报同步
SIEM + ITSM Webhook/API 自动化工单创建
多产品协同 SOAR 作为编排层 统一协调各产品

十、产品选型方法论

10.1 选型评估矩阵

维度 权重 评估要点 评估方法
功能匹配 25% 需求覆盖度、ATT&CK 覆盖 POC 验证
检测能力 25% 准确率、误报率、漏报率 红队测试
集成能力 20% API、标准化、日志兼容 集成测试
运维成本 15% 学习曲线、人力需求、硬件需求 TCO 估算
总体成本 15% 采购、维护、扩展 5 年 TCO

10.2 POC 测试标准

检测能力测试:

测试场景 攻击手法 检测要求 评分标准
勒索软件 勒索软件模拟执行 5 分钟内告警 100% 检测
无文件攻击 PowerShell 攻击模拟 实时告警 100% 检测
横向移动 SMB/RDP 横向模拟 5 分钟内告警 > 90% 检测
凭据窃取 Mimikatz 模拟 实时告警 100% 检测
C2 通信 C2 Beacon 模拟 10 分钟内告警 > 95% 检测

响应能力测试:

测试场景 测试内容 要求 评分标准
隔离速度 终端隔离命令 < 1 分钟完成 必须项
剧本执行 自动化响应剧本 成功执行 100% 成功
误报测试 正常业务操作 不触发告警 < 5% 误报
并发处理 大量告警同时触发 正常处理 > 1000 EPS

10.3 总体拥有成本 (TCO) 计算

5 年 TCO 估算模型:

成本项 第一年 后续年度 说明
软件许可/订阅 基础费用 续费费用 通常首年含首年费用
硬件基础设施 服务器/存储/网络 无 (云服务按需) 传统部署模式
实施服务 部署/集成/培训 升级/优化 通常为首年费用
运维人力 1-2 FTE 0.5-1 FTE 取决于自动化程度
培训认证 认证培训 持续学习 每年认证费用
应急响应 应急响应服务 年度服务 建议包含

十一、产品组合推荐

11.1 企业规模推荐

企业规模 SOC 类型 推荐产品组合
小型 (< 500 人) MSSP 或 虚拟 SOC XDR + 云 SIEM
中型 (500-2000 人) 内部 SOC (5-10 人) SIEM + SOAR + EDR + NDR
大型 (2000-10000 人) 内部 SOC (10-30 人) 企业 SIEM + SOAR + EDR + NDR + TIP
超大型 (> 10000 人) 大型 SOC (30+ 人) 分布式 SIEM + SOAR + 多 EDR + NDR + TIP + CSPM

11.2 行业推荐

行业 合规要求 推荐产品 重点功能
金融 等保三级、PCI-DSS SIEM + EDR + DAM + DLP 审计、合规、大屏
政府 等保三级 SIEM + EDR + SOC 平台 国产化、等保合规
医疗 HIPAA、等保 SIEM + EDR + DLP 数据安全、患者隐私
教育 等保二级/三级 态势感知 + EDR 简化运维
互联网 无特殊 XDR + 云 SIEM 敏捷 DevOps

11.3 场景化推荐

场景 痛点 推荐方案 目标
勒索防护 勒索攻击频发 EDR + NDR + 备份 早期检测、快速响应
数据合规 数据安全法合规 SIEM + DLP + DAM 全面审计、敏感数据保护
远程办公 零信任需求 ZTNA + EDR + SIEM 身份认证、终端安全
云迁移 云安全盲点 CSPM + CWPP + CASB 云安全态势、运行时保护
供应链安全 第三方风险 SIEM + TIP + EDR 第三方监控、情报预警

十二、参考链接

资源 链接
Gartner SIEM 魔力象限 https://www.gartner.com/smarterwithgartner/how-to-choose-a-siem-platform
Gartner XDR 市场指南 https://www.gartner.com/doc/reprints?id=1XXXXXXXXX
MITRE ATT&CK Evaluations https://attackevals.mitre.org/
MITRE Engenuity https://mitre-engenuity.org/
NDR 产品评测 https://www.networkdetectionresponse.com/
XDR 对比分析 https://www.forrester.com/search/?term=XDR

Last updated: 2026-06-02