擴展檢測和響應(XDR)是工具和數據的整合，除了應用程序和端點外，還提供跨網絡和云的擴展可見性、分析和響應。XDR 是端點檢測和響應(EDR) 安全性的更復雜和先進的進展。在 EDR 包含并消除端點和工作負載上的威脅時，XDR 將這些功能擴展到端點之外的多個安全控制點（包括電子郵件、網絡、服務器和云），以使用跨域收集的數據更快地檢測威脅。

安全中的 XDR 如何工作？

XDR 從根本上說是工具和數據的整合，它代表著企業安全能力向前邁出的重要一步。由于 XDR 可以訪問在整個環境中收集的原始數據，因此它可以檢測到使用合法軟件訪問系統的不良行為者（安全信息和事件管理軟件或 SIEM 通常無法做到這一點）。它執行活動數據的自動分析和關聯，使安全團隊能夠更有效地遏制威脅。例如，它可以擴展到包括網絡檢測、橫向移動、異常連接、信標、滲漏和惡意工件的傳遞。

最后，與 EDR 一樣，XDR 對威脅做出響應以遏制和消除它——但 XDR 卓越的數據收集和與環境的集成使其能夠更有效地響應受影響的資產。真正的 XDR 平臺提供了安全分析師以有針對性和有效的方式響應威脅所需的整體可見性和上下文。這種量身定制的響應不僅有助于遏制威脅本身，還有助于遏制響應對系統的影響——例如，減少關鍵服務器的停機時間。

XDR 包含三個部分：遙測和數據分析、檢測和響應。

遙測和數據分析： XDR 跨多個安全層監控和收集數據，不僅包括端點，還包括網絡、服務器和云。然后，它使用數據分析來關聯來自這些層的數千個警報的上下文，以便顯示數量少得多的高優先級警報，從而幫助避免壓倒安全團隊。

檢測： 正如我們所見，XDR 卓越的可見性使其能夠篩選警報并報告需要響應的警報。同樣的可見性允許它在環境中創建正常行為的基線，以檢測利用軟件、端口和協議的威脅，并調查威脅的來源，以阻止它影響系統的其他部分。

響應： 與 EDR 一樣，XDR 能夠包含和刪除它檢測到的威脅，以及更新安全策略以防止再次發生類似的違規行為。然而，與僅在端點和工作負載上執行此功能的 EDR 不同，XDR 超越了端點保護，可以響應它所涉及的所有安全控制點的威脅，從容器安全到網絡和服務器。

XDR 有什么好處？

XDR 超越 EDR 的附加功能為保護組織的 IT 環境提供了幾個切實的好處。這些好處包括：

• 更高的可見性和上下文： 與 EDR（僅限于端點和工作負載）和第三方安全服務（通常具有有限的視圖）不同，XDR 提供了安全環境的完整 360 度視圖。它允許安全分析師查看任何安全層上的威脅——即使是那些利用合法軟件、端口和協議進入的威脅，以及攻擊是如何發生的、藍圖、入口點、還有誰受到影響、威脅在哪里起源，以及它是如何傳播的。這種額外的上下文（以及理解它所需的分析）對于快速響應威脅至關重要。
• 優先級： IT 和安全團隊通常難以跟上其安全服務生成的數千個警報。XDR 的數據分析和關聯功能使其能夠跨 MITRE ATT&CK 框架對相關警報進行分組，確定它們的優先級并僅顯示最重要的警報。
• 自動化： XDR 對自動化的使用加快了檢測和響應速度，并從安全流程中移除了手動步驟，使 IT 團隊能夠處理大量安全數據并以可重復的方式執行復雜流程。
• 運營效率： XDR 提供了整個環境中威脅的整體視圖，而不是零散的安全工具集合。它提供與環境和更廣泛的安全生態系統緊密集成的集中式數據收集和響應。
• 更快的檢測和響應： 所有這些優勢共同構成了更強大、更有效的安全態勢。XDR 的附加效率使其能夠更快地檢測和響應威脅——這在當今的安全環境中至關重要。
• 更復雜的響應： 傳統的 EDR 通常通過隔離受影響的端點來響應威脅，當端點是用戶設備時這很好，但當關鍵服務器被感染時可能會造成問題。XDR 更復雜的功能和更高的可見性使其能夠定制對特定系統的響應并利用其他控制點來最大限度地減少整體影響。

XDR 的用例是什么？

• 威脅搜尋： 盡管任何給定網絡中都可能已經存在威脅，但許多安全團隊都在努力尋找時間進行主動威脅搜尋。XDR 的遙測和自動化功能允許大部分工作自動完成，顯著減輕安全團隊的負擔，并允許他們在執行其他任務的同時執行威脅搜尋，僅在必要時進行干預。
• 分類： 安全團隊最重要的功能之一是對警報進行優先級排序或分類，并快速響應最關鍵的警報。XDR 通過使用強大的分析將數千個警報關聯到少數高優先級警報中來幫助篩選噪音。
• 調查： XDR 廣泛的數據收集、卓越的可見性和自動分析使安全團隊能夠快速輕松地確定威脅的來源、傳播方式以及其他用戶或設備可能受到的影響。這對于消除威脅和加強網絡抵御未來威脅至關重要。

有哪些需要避免的 XDR 錯誤？

XDR 是一種強大的安全策略，但要實現其全部優勢，選擇能夠充分利用其功能的解決方案非常重要。在選擇平臺時，請注意以下問題：

• 缺乏集成： XDR 只有在完全集成到 IT 環境中時才有效。需要工作來維護的復雜集成可能會占用您的 IT 團隊的時間，并降低您的 XDR 解決方案的效率。
• 自動化不足： 自動化是 XDR 最強大的功能之一，因此有效的平臺需要能夠適應當前條件并執行有針對性的響應，而不僅僅是阻止受影響設備的流量。
• 操作復雜性： 一個有用的 XDR 解決方案需要具有凝聚力，并可供安全和 IT 團隊訪問；否則，您的團隊通過實施它獲得的時間將被投入學習和設置它的時間和精力所抵消。

什么是網絡安全中的檢測和響應？

檢測和響應技術采用實時、連續的系統監控來檢測和調查潛在威脅。然后，檢測和響應系統使用自動化來遏制和消除這些威脅。

今天有許多不同類型的檢測和響應解決方案，包括：

• EDR（端點檢測和響應）： EDR 監視和響應端點上的威脅。它是第一種類型的檢測和響應系統，與早期的安全技術相比，它可以提供更好的可見性和對威脅的更快響應。它還擁有改進的惡意軟件檢測功能，使其能夠捕獲更復雜的威脅，例如無文件惡意軟件。但是，它的范圍僅限于端點和工作負載安全，這使得在復雜環境中關聯威脅變得困難。
• NDR（網絡檢測和響應）： NDR 掃描網絡內的威脅并在檢測到威脅時部署響應。這種類型的檢測和響應側重于內部網絡，使安全團隊能夠看到已經突破外圍的威脅。NDR 應使用包括 NTA、IDPS、網絡沙盒在內的技術與無監督和監督機器學習相結合，以區分端點之外的惡意和良性活動。
• MDR（托管檢測和響應）： MDR 作為外包服務運行，外部專業人員在組織的系統上執行檢測和響應，通常使用 EDR 和 NDR 工具。對于沒有內部專業知識或資源來操作檢測和響應工具的組織來說，這可能是一個不錯的選擇。與 MSSP（托管安全服務提供商）等其他外包安全服務不同，MDR 服務專注于檢測和響應在端點、工作負載和網絡內檢測到的最新威脅。

什么是網絡安全中的 EDR？

EDR 是第一個從行為分析和調查的角度來處理安全問題的技術，它使安全團隊能夠快速檢測可疑行為，即使它與以前的已知攻擊不同。EDR 不依賴基于定義的檢測方法，而是使用機器學習和行為分析來檢測零日威脅，以免它們損壞網絡——這是向前邁出的重要一步。但是，EDR 收集的數據量及其復雜性通常會阻礙組織對其進行分析的嘗試，并且其對端點保護的唯一關注可能會使團隊對跨系統的活動視而不見。

XDR 和 EDR 有什么區別？

XDR 將 EDR 的功能擴展到環境中的所有安全層——負載、設備、用戶和網絡。XDR 不是 EDR 提供的單一觀點，而是支持跨多個安全層的遙測和行為分析，使安全團隊能夠看到全局。

不良行為者不會將他們的攻擊限制在單個安全層，安全團隊也不能將他們的觀點限制在一個層。EDR 使安全專業人員能夠看到可能受到威脅的端點，但是當安全團隊意識到攻擊已經通過網絡傳播到其他系統時，這還不夠。這就是 XDR 的用武之地。通過提供整個系統的活動的整體視圖以避免可見性差距，XDR 允許安全團隊了解威脅的來源以及它如何在整個環境中傳播 - 以消除它。換言之，XDR 提供了更強大的分析和關聯能力以及整體觀點。