什么是XDR

背景

文章轉自嘶吼，原文是sentinelone出的，建議閱讀原文，鏈接如下：
https://www.sentinelone.com/blog/understanding-the-difference-between-edr-siem-soar-and-xdr/

翻譯正文

網絡安全行業充斥着行話、縮寫詞和首字母縮略詞。隨着復雜的攻擊媒介成倍增加，從終端到網絡再到雲，許多企業正在面臨一種新方法來應對高級攻擊：擴展檢測和響應，這就產生了另一個首字母縮略詞：XDR。盡管 XDR 今年受到行業的廣泛關注，但 XDR 仍然是一個不斷發展的概念。

什么是 XDR？XDR 與 EDR 有何不同？和SIEM和SOAR一樣嗎？

2020年以來，隨着遠程辦公的增加，網絡攻擊也進一步加劇，XDR的熱度隨之持續上升。2020年，Gartner將XDR命名為第一大安全趨勢，並表示XDR解決方案將“提高檢測准確性，並提高安全運營效率和生產率。”

作為 EDR 市場的領導者和新興 XDR 技術的先驅，我們經常被要求闡明它的含義以及它如何最終幫助提供更好的防御效果。這篇文章旨在澄清一些關於 XDR 的常見問題以及與 EDR、SIEM 和 SOAR 之間的區別。

什么是 EDR？

EDR （Endpoint Detection and Response）使組織能夠監控終端的可疑行為並記錄每個活動和事件。然后關聯信息以提供關鍵上下文以檢測高級攻擊，並最終運行自動響應活動，例如近乎實時地將受感染的終端與網絡隔離。終端檢測和響應是一種主動式終端安全解決方案，通過記錄終端與網絡事件（例如用戶，文件，進程，注冊表，內存和網絡事件），並將這些信息本地存儲在終端或集中數據庫。結合已知的攻擊指示器(Indicators of Compromise，IOCs)、行為分析的數據庫來連續搜索數據和機器學習技術來監測任何可能的安全攻擊，並對這些安全攻擊做出快速響應。還有助於快速調查攻擊范圍，並提供響應能力。

什么是 XDR？

XDR 是 EDR、終端檢測和響應的演變。雖然 EDR 收集和關聯多個終端的活動，但 XDR 將檢測范圍擴大到終端之外，以提供跨終端、網絡、服務器、雲工作負載、SIEM 等的檢測、分析和響應。

這提供了一個跨多個工具和攻擊媒介的統一的單一管理平台視圖。這種改進的可見性提供了這些攻擊的背景信息，以幫助分類、調查和快速修復工作。

XDR 自動收集和關聯多個安全向量的數據，促進更快的攻擊檢測，以便安全分析師可以在攻擊范圍擴大之前快速做出響應。跨多個不同產品和平台的開箱即用集成和預先調整的檢測機制有助於提高生產力、攻擊檢測和取證。

簡而言之，XDR 擴展到終端之外，可以根據來自更多產品的數據做出決策，並且可以通過對電子郵件、網絡、身份等采取行動，進而在整個堆棧中采取防御。

XDR 與 SIEM 有何不同？

當我們談論 XDR 時，有些人認為我們是在以不同的方式描述安全信息和事件管理 (SIEM) 工具，但是 XDR 和 SIEM 是兩種不同的東西。

安全信息事件管理 (SIEM)從整個企業收集、聚合、分析和存儲大量的日志數據，SIEM 以一種非常廣泛的方法開始了它的旅程：從整個企業的幾乎任何來源收集可用的日志和事件數據，以便為多個用例進行存儲。其中包括治理和合規性、基於規則的模式匹配、啟發式/行為攻擊檢測（如 UEBA），以及跨遙測源尋找 IOC 或攻擊指標。SIEM解決方案就像飛行員和空中交通管制員使用的雷達系統。如果沒有該數據安全管理解決方案，企業 IT 無異於處於“盲飛”狀態。雖然安全設備和系統軟件擅長捕捉和記錄孤立的攻擊與會產生威脅的異常行為，但是當今最嚴重的威脅是分布式的，跨多個系統協同工作，並使用先進的逃避技術來避免進行威脅情報檢測。如果沒有SIEM安全信息事件管理，攻擊就會發生並發展成為災難性事件。

然而，SIEM 工具需要大量的微調和努力才能實現。安全團隊也可能被來自 SIEM 的大量警報淹沒，導致 SOC 忽略關鍵警報。此外，即使 SIEM 從數十個來源和傳感器捕獲數據，它仍然是一種發出警報的被動分析工具。

XDR 平台旨在解決 SIEM 工具有效檢測和響應針對性攻擊的挑戰，包括行為分析、攻擊情報、行為剖析和分析。

XDR 與 SOAR 有何不同？

成熟的安全運營團隊使用安全編排和自動響應 (SOAR) 平台來構建和運行多階段劇本，以在與 API 連接的安全解決方案生態系統中自動執行操作。相比之下，XDR 將通過 Marketplace 實現生態系統集成，並提供針對第三方安全控制的簡單操作自動化機制。

SOAR是復雜的、昂貴的，並且需要一個高度成熟的SOC來實現和維護合作伙伴的集成。而XDR的目標是“SOAR-lite”，即一個簡單、直觀、零代碼的解決方案，提供從XDR平台到連接的安全工具的操作能力。

什么是 MXDR？

托管擴展檢測和響應 (MXDR) 將 MDR 服務擴展到整個企業，以獲得完全托管的解決方案，其中包括跨終端、網絡和雲環境的安全分析和操作、高級攻擊搜尋、檢測和快速響應。

MXDR 服務通過 MDR 服務增強了客戶的 XDR 功能，以提供額外的監控、調查、攻擊搜尋和響應功能。

為什么XDR越來越受歡迎?

XDR 取代了孤立的安全性，並幫助組織從統一的角度應對網絡安全挑戰。通過包含來自整個生態系統信息的單一原始數據池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應，從更廣泛的來源收集和整理數據。

XDR 為攻擊提供更多可見性和背景信息，以前無法處理的事件將會浮出水面，使安全團隊能夠糾正和減少任何進一步的影響，並將攻擊的范圍降到最低。

典型的勒索軟件攻擊會遍歷網絡，到達電子郵件收件箱，然后攻擊終端。通過獨立地查看每一個變量來解決安全性問題會使組織處於不利地位。XDR集成了不同的安全控制來提供跨企業安全領域的自動化或一鍵式響應操作，如禁用用戶訪問、強制對可疑帳戶進行多因素身份驗證、阻止入站域和文件哈希等，所有這些都是通過用戶編寫的自定義規則或內置在規范響應引擎中的邏輯實現的。

通過包含來自整個生態系統信息的單一原始數據池，XDR 允許比 EDR 更快、更深入、更有效的攻擊檢測和響應，從更廣泛的來源收集和整理數據。

這種全面的可見性帶來了幾個好處，包括：

◼通過跨數據源的關聯減少平均檢測時間(MTTD)；

◼通過加速分類和減少調查和范圍的時間來減少平均調查時間 (MTTI)；

◼通過實現簡單、快速和相關的自動化來減少平均響應時間 (MTTR)；

◼提高整個安全領域的可見性；

此外，由於人工智能和自動化，XDR 有助於緩解安全分析師的手動工作負擔。 XDR 解決方案可以主動、快速地檢測復雜的攻擊，提高安全或 SOC 團隊的生產力，並為組織帶來巨大的投資回報。

反思

國內做edr很成熟的都沒有，何談XDR，縱觀國際上的安全大廠，哪家的edr做的不是有聲有色，嘆息，啥時候國內的EDR能起來啊！！！