什么是扩展检测和响应(XDR)？

扩展检测和响应(XDR)是工具和数据的整合，除了应用程序和端点外，还提供跨网络和云的扩展可见性、分析和响应。XDR 是端点检测和响应(EDR) 安全性的更复杂和先进的进展。在 EDR 包含并消除端点和工作负载上的威胁时，XDR 将这些功能扩展到端点之外的多个安全控制点（包括电子邮件、网络、服务器和云），以使用跨域收集的数据更快地检测威胁。

安全中的 XDR 如何工作？

XDR 从根本上说是工具和数据的整合，它代表着企业安全能力向前迈出的重要一步。由于 XDR 可以访问在整个环境中收集的原始数据，因此它可以检测到使用合法软件访问系统的不良行为者（安全信息和事件管理软件或 SIEM 通常无法做到这一点）。它执行活动数据的自动分析和关联，使安全团队能够更有效地遏制威胁。例如，它可以扩展到包括网络检测、横向移动、异常连接、信标、渗漏和恶意工件的传递。

最后，与 EDR 一样，XDR 对威胁做出响应以遏制和消除它——但 XDR 卓越的数据收集和与环境的集成使其能够更有效地响应受影响的资产。真正的 XDR 平台提供了安全分析师以有针对性和有效的方式响应威胁所需的整体可见性和上下文。这种量身定制的响应不仅有助于遏制威胁本身，还有助于遏制响应对系统的影响——例如，减少关键服务器的停机时间。

XDR 包含三个部分：遥测和数据分析、检测和响应。

遥测和数据分析： XDR 跨多个安全层监控和收集数据，不仅包括端点，还包括网络、服务器和云。然后，它使用数据分析来关联来自这些层的数千个警报的上下文，以便显示数量少得多的高优先级警报，从而帮助避免压倒安全团队。

检测： 正如我们所见，XDR 卓越的可见性使其能够筛选警报并报告需要响应的警报。同样的可见性允许它在环境中创建正常行为的基线，以检测利用软件、端口和协议的威胁，并调查威胁的来源，以阻止它影响系统的其他部分。

响应： 与 EDR 一样，XDR 能够包含和删除它检测到的威胁，以及更新安全策略以防止再次发生类似的违规行为。然而，与仅在端点和工作负载上执行此功能的 EDR 不同，XDR 超越了端点保护，可以响应它所涉及的所有安全控制点的威胁，从容器安全到网络和服务器。

XDR 有什么好处？

XDR 超越 EDR 的附加功能为保护组织的 IT 环境提供了几个切实的好处。这些好处包括：

• 更高的可见性和上下文： 与 EDR（仅限于端点和工作负载）和第三方安全服务（通常具有有限的视图）不同，XDR 提供了安全环境的完整 360 度视图。它允许安全分析师查看任何安全层上的威胁——即使是那些利用合法软件、端口和协议进入的威胁，以及攻击是如何发生的、蓝图、入口点、还有谁受到影响、威胁在哪里起源，以及它是如何传播的。这种额外的上下文（以及理解它所需的分析）对于快速响应威胁至关重要。
• 优先级： IT 和安全团队通常难以跟上其安全服务生成的数千个警报。XDR 的数据分析和关联功能使其能够跨 MITRE ATT&CK 框架对相关警报进行分组，确定它们的优先级并仅显示最重要的警报。
• 自动化： XDR 对自动化的使用加快了检测和响应速度，并从安全流程中移除了手动步骤，使 IT 团队能够处理大量安全数据并以可重复的方式执行复杂流程。
• 运营效率： XDR 提供了整个环境中威胁的整体视图，而不是零散的安全工具集合。它提供与环境和更广泛的安全生态系统紧密集成的集中式数据收集和响应。
• 更快的检测和响应： 所有这些优势共同构成了更强大、更有效的安全态势。XDR 的附加效率使其能够更快地检测和响应威胁——这在当今的安全环境中至关重要。
• 更复杂的响应： 传统的 EDR 通常通过隔离受影响的端点来响应威胁，当端点是用户设备时这很好，但当关键服务器被感染时可能会造成问题。XDR 更复杂的功能和更高的可见性使其能够定制对特定系统的响应并利用其他控制点来最大限度地减少整体影响。

XDR 的用例是什么？

• 威胁搜寻： 尽管任何给定网络中都可能已经存在威胁，但许多安全团队都在努力寻找时间进行主动威胁搜寻。XDR 的遥测和自动化功能允许大部分工作自动完成，显着减轻安全团队的负担，并允许他们在执行其他任务的同时执行威胁搜寻，仅在必要时进行干预。
• 分类： 安全团队最重要的功能之一是对警报进行优先级排序或分类，并快速响应最关键的警报。XDR 通过使用强大的分析将数千个警报关联到少数高优先级警报中来帮助筛选噪音。
• 调查： XDR 广泛的数据收集、卓越的可见性和自动分析使安全团队能够快速轻松地确定威胁的来源、传播方式以及其他用户或设备可能受到的影响。这对于消除威胁和加强网络抵御未来威胁至关重要。

有哪些需要避免的 XDR 错误？

XDR 是一种强大的安全策略，但要实现其全部优势，选择能够充分利用其功能的解决方案非常重要。在选择平台时，请注意以下问题：

• 缺乏集成： XDR 只有在完全集成到 IT 环境中时才有效。需要工作来维护的复杂集成可能会占用您的 IT 团队的时间，并降低您的 XDR 解决方案的效率。
• 自动化不足： 自动化是 XDR 最强大的功能之一，因此有效的平台需要能够适应当前条件并执行有针对性的响应，而不仅仅是阻止受影响设备的流量。
• 操作复杂性： 一个有用的 XDR 解决方案需要具有凝聚力，并可供安全和 IT 团队访问；否则，您的团队通过实施它获得的时间将被投入学习和设置它的时间和精力所抵消。

什么是网络安全中的检测和响应？

检测和响应技术采用实时、连续的系统监控来检测和调查潜在威胁。然后，检测和响应系统使用自动化来遏制和消除这些威胁。

今天有许多不同类型的检测和响应解决方案，包括：

• EDR（端点检测和响应）： EDR 监视和响应端点上的威胁。它是第一种类型的检测和响应系统，与早期的安全技术相比，它可以提供更好的可见性和对威胁的更快响应。它还拥有改进的恶意软件检测功能，使其能够捕获更复杂的威胁，例如无文件恶意软件。但是，它的范围仅限于端点和工作负载安全，这使得在复杂环境中关联威胁变得困难。
• NDR（网络检测和响应）： NDR 扫描网络内的威胁并在检测到威胁时部署响应。这种类型的检测和响应侧重于内部网络，使安全团队能够看到已经突破外围的威胁。NDR 应使用包括 NTA、IDPS、网络沙盒在内的技术与无监督和监督机器学习相结合，以区分端点之外的恶意和良性活动。
• MDR（托管检测和响应）： MDR 作为外包服务运行，外部专业人员在组织的系统上执行检测和响应，通常使用 EDR 和 NDR 工具。对于没有内部专业知识或资源来操作检测和响应工具的组织来说，这可能是一个不错的选择。与 MSSP（托管安全服务提供商）等其他外包安全服务不同，MDR 服务专注于检测和响应在端点、工作负载和网络内检测到的最新威胁。

什么是网络安全中的 EDR？

EDR 是第一个从行为分析和调查的角度来处理安全问题的技术，它使安全团队能够快速检测可疑行为，即使它与以前的已知攻击不同。EDR 不依赖基于定义的检测方法，而是使用机器学习和行为分析来检测零日威胁，以免它们损坏网络——这是向前迈出的重要一步。但是，EDR 收集的数据量及其复杂性通常会阻碍组织对其进行分析的尝试，并且其对端点保护的唯一关注可能会使团队对跨系统的活动视而不见。

XDR 和 EDR 有什么区别？

XDR 将 EDR 的功能扩展到环境中的所有安全层——负载、设备、用户和网络。XDR 不是 EDR 提供的单一观点，而是支持跨多个安全层的遥测和行为分析，使安全团队能够看到全局。

不良行为者不会将他们的攻击限制在单个安全层，安全团队也不能将他们的观点限制在一个层。EDR 使安全专业人员能够看到可能受到威胁的端点，但是当安全团队意识到攻击已经通过网络传播到其他系统时，这还不够。这就是 XDR 的用武之地。通过提供整个系统的活动的整体视图以避免可见性差距，XDR 允许安全团队了解威胁的来源以及它如何在整个环境中传播 - 以消除它。换言之，XDR 提供了更强大的分析和关联能力以及整体观点。