扩展检测和响应(XDR)是一种更全面的威胁检测和响应功能,现在大多数网络安全提供商都提供这种功能. 这个进行, 云可扩展的安全解决方案可以统一和转换多个遥测源. 弗雷斯特 defines XDR as “the evolution of 端点检测和响应”(功能).
There is an urgency in the industry to push 功能 to be more proactive, 包括, 和 prescriptive – with no more perimeter, data is rushing to 和 from the cloud, 和 the odds favor threat actors more than ever. XDR promises to find threats earlier 和 respond/remediate faster. Gartner表示,XDR是一种“检测和事件响应工具,它将多种安全产品原生集成到一个内聚的安全操作系统中.”
和, according to Enterprise Strategy Group (ESG), XDR security “can act as a cybersecurity force multiplier, not just the next buzzworthy topic at RSA 和 Black Hat.” There remains significant debate about exactly what XDR is: A product? 解决方案? 的演变 security information 和 event management (SIEM)?
现在, 最有用的说法是有意义的方法更有效率, 有效的检测和响应.
XDR通过利用高级分析将来自多个遥测源的警报关联到可操作的威胁情报中,从而在检测和响应过程中更早地阻止威胁. Let's take a look at the inner-workings of an XDR solution.
XDR should unify the telemetry across remote users, 网络数据, 端点, 云——以及接下来发生的一切. 使用良好的XDR方法, analysts have curated detections, 全面的调查, detailed 和 highly correlated threat events, 和 automated-response recommendations. 分析师可以更简单、更聪明、更快速地工作,而且他们总是知道下一步该做什么.
The right XDR方法 is the end of tab-hopping. 它提供了一个单一的、全面的中心,可以在没有技术限制的情况下进行扩展. 期望SaaS交付能够促进跨办公室或世界各地的协作. XDR should also relieve security teams of steep analytical requirements, parsing 和 analyzing 警报 for you.
There is a dramatically different signal-to-noise ratio with mature XDR. 正确的方法, 威胁情报, 检测库背后的勤奋意味着您可以信任开箱即用的检测. 所有不同的数据都应该根据用户、资产和活动进行关联.
弗雷斯特表示,XDR应该包括一键执行的规范响应网络安全剧本. 您应该期待为端点威胁遏制之类的事情预构建工作流, 用户帐户暂停, 和 integration with ticketing systems like Jira 和 ServiceNow.
传统SIEMs的构建是为了消耗大量日志数据,并为安全团队提供分析功能. 从那里, it’s up to you to aggregate 有关 security telemetry, 相关研究结果, 验证的威胁, 和纠正.
现在,拿一个 XDR方法 -以云SIEM为核心-将分析和配置从您的 security operations center (SOC). 重点是提高效率,加快事件响应速度,为你的一天创造更多的空间.
Traditional SIEM leaves a lot up to you. However, XDR=SIEM + 功能, all with curation. 这意味着团队拥有原生资源, 有关, 以及可操作的遥测技术, 高保真度检测, 和 prescriptive response playbooks.
XDR should go well beyond managing 和 analyzing SIEM logs. 数字化转型正在加速,“在任何地方工作”成为新常态. True XDR platforms meet these new security challenges, identifying threats from an array of telemetry sources 和 threat feeds.
随着需要管理的数据量越来越大,需要调查的警报也越来越多. 传统的SIEM解决方案通常不能为分析师提供他们需要的上下文,以确定这些警报的优先级.
这是XDR真正腾飞的地方. 我们指的是杠杆作用 security automation 和 response (SOAR) 自动清除大量误报的做法,并提高警报的质量. XDR refines 和 channels the most effective SIEM 和 SOAR practices, placing emphasis on advanced telemetry, 因此,与传统的反应性工作流相比,团队可以更加主动.
功能是SOC方法中的关键因素-它有助于保护网络中的特定端点并防止工作站凭证被盗, lateral movement from threat actors, 以及其他难以捉摸的行为. 捕获警报的相关上下文是扩展的“特殊调味品” 终端安全 so analysts 和 experts can act faster.
一个有能力的事件检测和响应(IDR)解决方案应该能够利用这种扩展的端点遥测技术来提供开箱即用的威胁检测. 分析师s could then act faster because they don’t have to sift through mountains of 警报; they can quickly respond to the alert that ranks as the highest priority.
XDR endpoint solutions don’t stop at basic threat detections. Enhanced Endpoint Telemetry (EET) allows teams to know exactly what triggered a particular detection. 他们会得到事件前后发生的具体细节. 和, 将所有重要的“X”添加到功能中意味着团队还将受益于文件完整性监控(FIM),它为涉及检测的用户和特定资产提供了更健壮的上下文.
If you're in the market for an XDR solution, 你并不孤单:83%的组织正在增加他们的威胁检测和响应预算, 29%的人承认存在“盲点”,” 29% need to decrease time-to-recovery, 和 27% want help knowing which threats to prioritize.2
Many vendors promising XDR outcomes are assuming you’ll integrate – 和 pay for – the many other cybersecurity technologies you’ll need for the complete telemetry set 和 extended-environment visibility: endpoint agents; network sensors; cloud hookups; 用户行为分析; log ingestion.
重要的是要了解包括什么,以及你的团队应该带来什么.
So, what is one of the most anticipated outcomes of XDR? A promise to end noisy 警报 和 deliver 高保真度检测.
It’s a good idea to ask about the methodology, 威胁情报, 和 diligence behind the detection library. Try to underst和 the philosophy 和 proofs-of-concept. 亲身体验侦查. 最后,通过客观的第三方分析或评论来了解更多.
找出哪些是自动化的. 分析师们准备好采取行动了吗? 是否嵌入了引导?? XDR is supposed to take away the monotonous, 重复的工作,把你训练过的有趣的工作留给你,希望你能及时回家吃晚饭. 外部, 超越边界的主动威胁情报现在是应对日益动态的事件的标准 攻击表面.
托管XDR是由外部网络安全供应商提供的服务解决方案. It incorporates all of the benefits of XDR mentioned above, 与技术, 功能, 警报, 和 responses typically managed by that outside vendor. 它减轻了内部安全团队管理扩展检测和响应程序的压力, 和 allows the SOC to pivot to other initiatives 和 areas of concern.
Along with an underlying XDR capability, managed detection 和 response (MDR) 通常包括 数字取证 违规反应,常规 威胁狩猎, 24x7x365 monitoring, 和 attacker takedown 功能. 通过添加XDR功能,安全团队不再需要在多个工具之间来回切换. 托管服务合作伙伴应该能够发现真正的威胁,并帮助您创建专门针对攻击及其对组织的影响量身定制的补救计划.
When a SOC partners with an MDR provider well versed in XDR 功能, 该团队正在确保它能够继续创新,以推动业务向前发展,同时还会收到带有适当上下文的警报,以确定优先级.
Download: ESG Research Report, The Impact of XDR in the Modern SOC
1 Enterprise Strategy Group (ESG), February 2021