XDR是什么

ForresterResearch对XDR的定义更为广泛：“EDR的演变，可实时优化威胁检测、调查、响应和搜寻。XDR解决方案带来了一种主动的威胁检测和响应方法。XDR与EDR或MDR相比如何？XDR安全性是传统反应性方法的替代方法，传统反应性方法仅提供对攻击的分层可见性，例如端点检测和响应或EDR。

XDR 定义

扩展检测和响应或 XDR 是一种新的威胁检测和响应方法，可针对网络攻击、未经授权的访问和滥用提供全面保护。XDR 由 Palo Alto Networks 首席技术官 Nir ​​Zuk 在 2018 年创造，它打破了传统的安全孤岛，可以跨所有数据源提供检测和响应。
根据分析公司 Gartner 的说法，XDR 是“一种基于 SaaS 的、特定于供应商的安全威胁检测和事件响应工具，可将多种安全产品原生集成到一个有凝聚力的安全操作系统中。” Forrester Research 对 XDR 的定义更为广泛：“EDR 的演变，可实时优化威胁检测、调查、响应和搜寻。XDR 将与安全相关的端点检测与来自安全和业务工具（例如网络分析和可见性 (NAV)、电子邮件安全、身份和访问管理、云安全等）的遥测相结合。它是一个基于大数据基础设施构建的云原生平台，可为安全团队提供灵活性、可扩展性和自动化机会。”

XDR 如何工作？

XDR 解决方案带来了一种主动的威胁检测和响应方法。它提供对所有数据（包括端点、网络和云数据）的可见性，同时应用分析和自动化来应对当今日益复杂的威胁。借助 XDR，网络安全团队可以：

• 主动快速地识别隐藏的、隐蔽的和复杂的威胁
• 跟踪组织内任何来源或位置的威胁
• 提高操作技术人员的生产力
• 从安全投资中获得更多收益
• 更有效地完成调查

从业务角度来看，XDR 平台使组织能够防止网络攻击得逞，并简化和加强安全流程。这反过来又让他们能够更好地为用户服务并加速数字化转型计划——因为当用户、数据和应用程序受到保护时，公司可以专注于战略重点。

XDR 的好处

• 通过端点保护阻止已知和未知攻击：通过集成的 AI 驱动的防病毒和威胁情报阻止恶意软件、漏洞利用和无文件攻击。
• 获得对所有数据的可见性：从任何来源收集和关联数据，以检测、分类、调查、搜寻和响应威胁。
• 24/7 全天候自动检测复杂攻击：使用开箱即用的分析和自定义规则来检测高级持续威胁和其他隐蔽攻击。
• 避免警报疲劳：通过自动根本原因分析和统一的事件引擎简化调查，减少您的团队需要审查的警报数量并降低分类所需的技能。
• 提高 SOC 生产力：在一个控制台中整合网络、端点和云环境中的端点安全策略管理和监控、调查和响应，从而提高 SOC 效率。
• 在不影响用户的情况下根除对手：停止攻击，同时避免用户或系统停机。
• 关闭高级威胁：保护您的网络免受内部滥用、外部攻击、勒索软件、无文件和仅内存攻击以及高级零日恶意软件的侵害。
• 让您的安全团队倍增： 通过检测危害指标 (IOC) 和异常行为以及使用事件评分确定分析的优先级来阻止攻击的每个阶段。
• 受损后恢复主机：通过删除恶意文件和注册表项以及使用补救建议恢复损坏的文件和注册表项，快速从攻击中恢复。
• 将检测和响应扩展到第三方数据源：对从第三方防火墙收集的日志进行行为分析，同时将第三方警报集成到统一的事件视图和根本原因分析中，以加快调查速度。

XDR 与 EDR 或 MDR 相比如何？

XDR 安全性是传统反应性方法的替代方法，传统反应性方法仅提供对攻击的分层可见性，例如端点检测和响应或 EDR；网络检测和响应，或 NDR；和用户行为分析，或 UBA，以及安全信息和事件管理 (SIEM)。分层可见性提供了重要信息，但也可能导致问题，包括：

• 太多不准确和不完整的警报。EDR 解决方案仅检测到 26% 的初始攻击向量，1 并且由于大量安全警报，54% 的安全专业人员忽略了本应调查的警报。2 个
• 需要专业知识的耗时、复杂的调查。借助 EDR，识别违规的平均时间增加到 197 天 3，控制违规的平均时间增加到 69 天。3 个
• 以技术为中心的工具，而不是以用户或业务为中心的保护。EDR 侧重于技术差距，而不是用户和组织的运营需求。每个安全运营中心 4 平均使用 40 多种工具，因此 23% 的安全团队花时间维护和管理安全工具，而不是执行安全调查。5 个

什么是 EDR 安全性？

端点检测和响应是指用于查找和调查端点设备威胁的一类工具。EDR 工具通常提供检测、分析、调查和响应功能。与这些安全解决方案相比，XDR 的视野更广，集成了来自端点、云、身份和其他解决方案的数据。

EDR 产品监控端点代理生成的事件以查找可疑活动，它们创建的警报可帮助 SecOps 分析师识别、调查和补救问题。这些解决方案还收集有关可疑活动的遥测数据，并可能使用来自相关事件的其他上下文信息来丰富该数据。但是，它们缺乏会减慢事件响应速度的关键功能。EDR 解决方案不提供与其他工具和数据源的集成以实现全面可见性，因此它们无法提供整体保护。

什么是 MDR？

托管检测和响应 (MDR)服务提供专门的人员和技术，以提高安全操作在威胁识别、调查和响应方面的有效性。这些服务补充了传统的托管安全服务，后者专注于广泛的安全警报管理和分类。

尽管存在各种定义，但 MDR 服务普遍提供以下价值：

• 资源扩充可帮助 SecOps 团队完成需要专业技能的任务，例如威胁搜寻、取证调查和事件响应。
• 安全成熟度的提高提供了一种成熟的威胁管理方法，该方法主动且全年 24/7 可用，为安全运营的其他方面的转型铺平了道路。
• 更快的价值实现时间提供了精心策划的技术堆栈、安全专家和运营最佳实践，可将检测和响应时间缩短至数天，而不是数年。
• 缩短的平均检测时间 (MTTD) 和平均响应时间 (MTTR) 确保在固定的、基于时间的服务级别协议 (SLA) 内更快地检测和响应高级威胁。