关于XDR的这些问题你都了解吗？ “现在从XDR概念角度来讲

“现在从XDR概念角度来讲，客户肯定是接受的，甚至是他未来安全建设的一个方向，这个毋庸置疑。但换一个名字叫其他什么DR其实都不是很重要，因为XDR要解决的问题是非常明确的，也是我们从威胁检测和响应角度要去帮客户解决他们现在面临的最大的一些问题。”
近日，未来智安（XDRSCE）创始人兼CEO唐伽佳参加了由网安行业门户FreeBuf主办的网安新势力SOLO发布季，作为攻防安全新势力代表厂商，在《浅谈XDR扩展威胁检测与响应》议题之下，唐伽佳对话一众投资人评委与产业评委。
问题来了：
1、对XDR终端侧如何考虑？
2、XDR多插件对于性能的要求具体体现在哪些方面？
3、未来智安XDR平台一方面会对接其他EDR和NDR系统，另一方面也会有自建的EDR和NDR系统，两者的效果会有什么样的差别？对于客户来讲现在哪种部署方式会多一些？
4、目前客户对于XDR产品的接受度怎么样？有没有相应的用户画像？

文章图片

文章图片

王宇帆|航行资本：对XDR终端侧如何考虑？
唐伽佳|未来智安创始人兼CEO：我们把未来智安XDR定义为一个平台， XDR平台里需要接入各种数据，这些数据起到的作用是XDR平台里面一个重要的能力，我们称之为基于上下文数据的遥测能力的实现，遥测能力更加关注的是流量侧和终端侧的丰富的数据。
终端的能力是XDR最核心能力的一部分。未来智安XDR的终端主要覆盖到PC端、服务器端、CWPP等,可以说对整个终端是全量覆盖的，所以终端的能力是XDR的一项基础和必要能力，对此我们也做了比较大的投入。
马勇|中国民航第二研究所技术部总助：XDR多插件对于性能的要求具体体现在哪些方面？
唐伽佳|未来智安创始人兼CEO：XDR多插件对于性能的要求其实就是对数据湖性能的要求，是XDR平台一个非常关键的能力,多插件在XDR里体现的是两块能力。
现在全球的对于XDR的定义分成两个阵营，一个叫“原生”XDR ，像PaloAlto、CrowdStrike等大厂都觉得所有的数据都应该是自己的，所以这里的插件更多指的是对于自己的各种插件的支持等。还有一个阵营叫“生态”XDR ，也就是说市面上只要有相应的数据，比如EDR、NDR的数据都要接进来。这两个阵营的核心需求根本上仍然来自于对性能的要求。
性能要求分为两个点，首先性能体现在两方面，一方面我们叫入库的性能，即存的性能，指的是当数据来了，我们要不断的去存储、建立索引，建立起消费过程中的关联关系等，这对性能要求很高。目前我们用ClickHouse来解决存的问题。另一方面是搜索，对存下来的数据做查询。现在查询比较好的仍然是ElasticSearch 。所以这可以算是一种比较创新的方式，存储用ClickHouse ，搜索用ES 。
而性能要求的另外一点关注的是多插件，这里可能性能是打引号的，是对于功能性、扩展性的要求。因为XDR的全称是扩展的威胁检测响应，这里的扩展性一定是说对于威胁检测和响应这个领域，我们能够满足全面支持客户的扩展性的能力，更多的支持数据遥测能力，当一些攻击线索进来之后， XDR平台能基于这些攻击线索找到相应的遥测数据，进行相应的上下文查询，然后帮客户做到快速的响应和处置。
许俊|繁星创投：未来智安XDR平台一方面会对接其他EDR和NDR系统，另一方面也会有自建的EDR和NDR系统，两者的效果会有什么样的差别？对于客户来讲现在哪种部署方式会多一些？