扩展检测和响应(XDR)是一种更全面的威胁检测和响应功能,现在大多数网络安全提供商都提供这种功能. This cloud-native, 云可扩展的安全解决方案可以统一和转换多个遥测源. Forrester 将XDR定义为“ endpoint detection and response” (EDR).
业界迫切需要推动EDR更加积极主动, encompassing, 而且是规定性的,没有更多的边界, 数据正在快速地进出云端, 威胁行为者的胜算比以往任何时候都大. XDR承诺更早地发现威胁并更快地响应/修复. Gartner表示,XDR是一种“检测和事件响应工具,它将多种安全产品原生集成到一个内聚的安全操作系统中.”
And, 根据企业战略集团(ESG), XDR安全“可以作为网络安全力量的倍增器, 而不仅仅是RSA和黑帽大会的下一个热门话题.“关于XDR究竟是一种产品,目前仍存在重大争议? Solution? An evolution of 安全信息和事件管理(SIEM)?
For now, 最有用的说法是有意义的方法更有效率, 有效的检测和响应.
XDR通过利用高级分析将来自多个遥测源的警报关联到可操作的威胁情报中,从而在检测和响应过程中更早地阻止威胁. 让我们看一下XDR解决方案的内部工作原理.
XDR应该统一远程用户之间的遥测, network data, endpoints, cloud - and whatever comes next. With a good XDR approach, 分析人士整理了一些检测结果, comprehensive investigations, 详细且高度相关的威胁事件, 以及自动响应建议. 分析师可以更简单、更聪明、更快速地工作,而且他们总是知道下一步该做什么.
正确的XDR方法是结束跳转选项卡. 它提供了一个单一的、全面的中心,可以在没有技术限制的情况下进行扩展. 期望SaaS交付能够促进跨办公室或世界各地的协作. XDR还应该减轻安全团队的繁重分析需求, 为您解析和分析警报.
成熟的XDR具有显著不同的信噪比. The right methodology, threat intelligence, 检测库背后的勤奋意味着您可以信任开箱即用的检测. 所有不同的数据都应该根据用户、资产和活动进行关联.
Forrester表示,XDR应该包括一键执行的规范响应网络安全剧本. 您应该期待为端点威胁遏制之类的事情预构建工作流, user-account suspension, 以及与Jira和ServiceNow等票务系统的集成.
传统SIEMs的构建是为了消耗大量日志数据,并为安全团队提供分析功能. From there, 由你来收集相关的安全遥测数据, correlate findings, validate threats, and remediate.
Now, taking an XDR approach -以云SIEM为核心-将分析和配置从您的 安全运营中心(SOC). 重点是提高效率,加快事件响应速度,为你的一天创造更多的空间.
传统的SIEM留给你很多东西. 然而,XDR=SIEM + EDR,都与策展. This means teams have native, relevant, and actionable telemetry, high-fidelity detections, 以及规范性的反应剧本.
XDR应该远远超出管理和分析SIEM日志的范围. 数字化转型正在加速,“在任何地方工作”成为新常态. 真正的XDR平台能够应对这些新的安全挑战, 识别来自一系列遥测源和威胁馈送的威胁.
随着需要管理的数据量越来越大,需要调查的警报也越来越多. 传统的SIEM解决方案通常不能为分析师提供他们需要的上下文,以确定这些警报的优先级.
This is where XDR truly SOARs. By which we mean it leverages 安全自动化和响应(SOAR) 自动清除大量误报的做法,并提高警报的质量. XDR提炼并引导了最有效的SIEM和SOAR实践, 强调先进的遥测技术, 因此,与传统的反应性工作流相比,团队可以更加主动.
EDR是SOC方法中的关键因素-它有助于保护网络中的特定端点并防止工作站凭证被盗, 威胁角色的横向移动, and other elusive behaviors. 捕获警报的相关上下文是扩展的“特殊调味品” endpoint security 因此,分析师和专家可以更快地采取行动.
一个有能力的事件检测和响应(IDR)解决方案应该能够利用这种扩展的端点遥测技术来提供开箱即用的威胁检测. Analysts could then act faster because they don’t have to sift through mountains of alerts; they can quickly respond to the alert that ranks as the highest priority.
XDR端点解决方案并不局限于基本的威胁检测. 增强端点遥测(EET) 让团队知道是什么触发了特定的检测. 他们会得到事件前后发生的具体细节. And, 将所有重要的“X”添加到EDR中意味着团队还将受益于文件完整性监控(FIM),它为涉及检测的用户和特定资产提供了更健壮的上下文.
如果您正在寻找XDR解决方案, 你并不孤单:83%的组织正在增加他们的威胁检测和响应预算, 29% admit to "blind spots,29%的公司需要缩短恢复时间, 27%的人希望了解哪些威胁是优先考虑的.2
Many vendors promising XDR outcomes are assuming you’ll integrate – and pay for – the many other cybersecurity technologies you’ll need for the complete telemetry set and extended-environment visibility: endpoint agents; network sensors; cloud hookups; user behavior analytics (UBA); log ingestion.
重要的是要了解包括什么,以及你的团队应该带来什么.
那么,XDR最令人期待的结果之一是什么? 承诺结束嘈杂的警报并提供高保真的检测.
问一下方法是个好主意, threat intelligence勤奋的背后,检测图书馆. 试着去理解哲学和概念证明. Experience detections firsthand. 最后,通过客观的第三方分析或评论来了解更多.
Find out what’s automated. Are analysts primed for action? Is guidance embedded? XDR应该消除单调, 重复的工作,把你训练过的有趣的工作留给你,希望你能及时回家吃晚饭. External, 超越边界的主动威胁情报现在是应对日益动态的事件的标准 attack surface.
托管XDR是由外部网络安全供应商提供的服务解决方案. 它包含了上面提到的XDR的所有优点, with technology, capabilities, alerts, 响应通常由外部供应商管理. 它减轻了内部安全团队管理扩展检测和响应程序的压力, 并允许SOC转向其他倡议和关注领域.
除了底层的XDR功能, 管理检测和响应(MDR) typically includes digital forensics breach response, regular threat hunting24x7x365监控,以及攻击者拦截能力. 通过添加XDR功能,安全团队不再需要在多个工具之间来回切换. 托管服务合作伙伴应该能够发现真正的威胁,并帮助您创建专门针对攻击及其对组织的影响量身定制的补救计划.
当SOC与精通XDR功能的MDR提供商合作时, 该团队正在确保它能够继续创新,以推动业务向前发展,同时还会收到带有适当上下文的警报,以确定优先级.
1 企业战略集团(ESG), 2021年2月