趨勢XDR掌握端點、郵件、網路與雲環境，擴大威脅偵測與反應

去年10月，趨勢發表新一代端點偵測與反應系統（EDR）Apex One，今年4月已經在臺上市，到了8月初，他們宣布推出涵蓋層面更為廣泛的資安偵測與反應系統XDR，相隔一週後，於該公司的2019年度資安大會（Cloudsec企業資安高峰論壇），正式在臺亮相。

基本上，XDR是一套採用SaaS模式供應的雲端安全服務，可提供自動化偵測、入侵指標的清理（IOC Sweeping）、威脅獵捕，以及根本原因分析。

若需要更進階、完整的代管，趨勢科技也提供另一項服務，稱為Managed XDR，當中將結合趨勢科技內部成立的威脅專家服務，替用戶提供全天候的完整威脅分析、因應計畫，以及矯正這些高風險狀況的建議。

相較於市面上的端點偵測與反應解決系統，或是代管式偵測與反應服務（MDR），趨勢所發展的XDR，最大的特色，是能夠同時橫跨更多種環境，像是電子郵件、網路、端點裝置、伺服器、雲端工作負載，進行資安防護資訊的整合，涵蓋到更多重大威脅的面向，從而提供更完全的威脅偵測與反應能力，讓企業能夠盡早掌握整體資安風險的態勢。

在運作的方式上，這套服務可將原本各自獨立的資安系統收集的微小事件，當中包含自身偵測、遙測、處理的資料，以及關於網路的詮釋資料（metadata），而且是針對不同防護層面的事件資訊，予以自動串連、交互關聯，因此，能夠突破人力處理無法負荷的局限，快速因應每日接收到的大量可疑活動警示，以及橫跨不同系統彙整事件資料的複雜作業，進而偵測到一些企業過去未能察覺的精密攻擊。

除此之外，XDR也能結合趨勢科技長期發展的全球威脅情報平臺，為事件資料的周邊增添進階的關聯性與脈絡，並搭配該公司資安專家對於最優先處理的威脅制定的特殊偵測規則，來強化整體環境的資訊安全防護。

值得注意的是，趨勢這套資安雲端服務之所以如此命名為XDR，是因為所要收集與分析的資料來源，並不僅限於上述5種系統，也包括安全事件資訊管理系統（SIEM）、使用者與實體行為分析系統（UEBA），以及各種能夠用來觀察主機、網路、訊息傳送活動的資料，廣泛納入各種數據，以便XDR能夠綜觀全局。

若能充分獲取與處理這些資料，其實對於XDR能否找出隱藏的威脅而言，至關重要，因為這能促使威脅的判斷變得更為精確，盡快產生可靠的偵測結果，以及清晰的惡意活動脈絡。而在具備這樣的事件集中處理能力之後，企業對於資安態勢，就可以有統一的事實認定，也能在面對各種資安警示時，採用共通、標準化的資料綱要（schema），促進資安團隊成員對於這些狀況的理解與溝通。

而目前XDR在威脅偵測相關的資訊統合上，也採用資安業界現在熱烈關注的Mitre ATT&CK框架，作為共通的入侵手法描述語言，並且以此為所收集到的各種資料進行加值，並套用到XDR的偵測記錄、遙測數據、Triage Workbench的攻擊事件摘要、實體層級執行輪廓的摘要、緩解建議的摘要、敵方的偵測模式，以及攻擊的戰略、技術和流程。

在各種資安系統的整合運用上，XDR也能將本身提供的專家分析能力，套用到趨勢科技的企業級資安解決方案上，讓兩邊的數據可以相互存取、套用，加快資料串連的速度 ，而能及早識別與阻擋攻擊活動。舉例來說，趨勢科技本身在2019年就運用了這種方法，而能發現大量採用橫向移動手法的攻擊行為，就算對方以此躲過了端點防護的檢測，終究還是在XDR集中、全方位的透視分析之下，具現出可疑的行徑與軌跡。

產品資訊

趨勢Trend Micro XDR
●原廠：趨勢科技
●建議售價：廠商未提供
●可提供保護的IT環境範圍：端點電腦、伺服器、網路、電子郵件、雲端服務
●整合的趨勢資安產品：Deep Discovery Inspector、Cloud App Security、Apex One、Deep Security
●支援的威脅情資交換格式：STIX/TAXII
●支援的威脅入侵手法共通描述標準：Mitre ATT&CK
●支援的自動化安全控制語言：OASIS OpenC2

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】