在回答这个问题之前，先通过两张图对比一下。

　　可以看到，深信服XDR直接将1个月内高达8183条单点告警信息，转化为用户一眼就能看到完整故事链的177个安全事件，平均每个工作日8个安全事件。用户不需要再花费大量时间精力，从海量告警中分析出安全事件。

　　在这177个事件中，以该科技公司感染CoinMiner挖矿病毒事件为例。

　　从8183条告警中精准还原1个挖矿事件故事线

　　深信服XDR用了哪些招式？

　　该用户原有部署了安全感知管理平台SIP，8月上线深信服XDR作为增值模块赋能SIP。

　　招式1：自9月1日开始，深信服XDR持续检测到该用户内网多个“Redis数据库攻击成功”事件，被控主机对其他Redis服务器进行扫描，并横向扩散。

　　招式2：深信服XDR 通过IOA行为检测引擎，主动监控所有外来者进入终端后的行为，并通过SIP与EDR网端联合溯源取证，精准检测出恶意挖矿软件的威胁实体，通过可视化故事线，节省大部分人工研判、手动关联的时间成本。

　　招式3：基于XDR威胁实体分析带来的能力，用户仅需在页面上联动EDR即可完成病毒根除，无须担心无法查杀/查杀不彻底等问题。如果用户不想手动操作，MDR服务依托XDR的检测效果，快速对受影响的资产溯源分析、查杀挖矿进程、清除恶意程序等，完成响应闭环。

　　用户不再需要花成倍时间查看告警，也无须担心发现事件后无法有效根除，安全体验和效果瞬间提升。

　　揭秘：XDR赋能SIP，

　　安全体验和效果提升不止“亿”点点

　　此次受挖矿病毒攻击的用户属于科技型企业，由于拥有多个自主创新核心技术，用户高度重视实战化的安全防护，之前已经部署安全感知管理平台SIP。

　　然而，随着外部攻击技战术日益升级，只依赖流量侧（N）的检测效果存在局限性，只能看到攻击者的攻击路径或痕迹，无法通过主机侧（E）看清攻击者在终端上的最终恶意行为，因此存在误报漏报，安全效果仍有进一步提升空间。

　　同时，一个完整的事件闭环分为缓解、遏制、根除、加固等几个阶段，这高度依赖人员的能力和经验，对精力和专业度都是巨大的挑战。

　　如何增强安全效果？如何简化安全运营？

　　通过XDR赋能SIP升级为下一代态势感知，

　　一切迎刃而解。

　　除了接收SIP上报数据外，深信服XDR补充接收终端安全管理系统EDR上报的遥测数据和终端安全日志，网端两侧关联分析形成安全事件，并结合云端专家服务提供威胁分析研判及狩猎能力，进一步提升事件研判精准度。

　　担心查杀不彻底？

　　XDR赋能SIP，增强检测能力

　　网端检测能力聚合、网端告警相互印证，增强对攻击成功的发现和定性能力；对于反复出现或难以处置的安全事件，网端定位问题根因，还原攻击画像和攻击入口，提升溯源取证能力。

　　担心误报漏报？

　　XDR赋能SIP，提升告警精准性

　　平台对各类安全日志关联分析，将告警聚合成安全事件，有效削减告警近90%，降低误报漏报，并针对已失陷主机和安全事件，实现“一站式”联动处置。

　　担心闭环工作量大？

　　XDR赋能SIP，结合MDR服务7*24H持续响应

　　深信服XDR对接托管检测与响应服务MDR，实现云地协同7*24小时持续监测，平均5分钟响应、2小时闭环、6小时归档。一旦发现安全事件，深信服MDR从监测、判断、调查到处置，形成实时闭环，减轻用户闭环工作量，实现真正省心省力。

　　在保护原有安全投资的前提下，

　　基于XDR赋能，SIP升级为下一代态势感知，

　　深信服希望以高效、高性价比的方式，

　　助力用户实战攻防领先一步。

　　一张图片，简单总结这次挖矿病毒攻击事件

　　↓

　　深信服可扩展检测响应平台XDR

　　1个平台XDR：通过网端一手数据采集，结合网端聚合分析引擎，实现攻击链深度溯源，检测能力更全面，事件响应更精准。

　　N个组件：协同下一代防火墙、SOAR、EDR等产品，让安全运营化繁为简。

　　专属服务：结合托管检测与响应服务MDR，原厂专家云地协同，7*24小时持续响应，释放运营精力。