什么是扩展检测和响应（XDR）？

扩展检测和响应（XDR）是一种更全面的威胁检测和响应能力，现在已成为大多数网络安全提供商的常见产品。这种云原生、云可扩展的安全解决方案可以统一和转换多个遥测源。Forrester将XDR定义为“端点检测和响应的演变”。

行业迫切需要将EDR变得更加积极主动、包容和规范——不再有边界，数据正在涌向云端和从云端涌出，而威胁参与者的可能性比以往任何时候都更大。XDR承诺尽早发现威胁并更快地响应/修复。Gartner表示，XDR是一种“将多个安全产品集成到一个具有内聚力的安全操作系统的检测和事件响应工具”。

据Enterprise Strategy Group（ESG）称，XDR安全“可以充当网络安全力量的倍增器，不仅仅是RSA和黑帽下一个令人感兴趣的话题”。关于XDR到底是什么，仍有很大的争议：它是一种产品？解决方案？安全信息和事件管理（SIEM）的进化？

现在，最能帮助称其为更高效、更有效的检测和响应的有意义方法的称呼。

XDR如何工作？

XDR通过利用先进的分析技术，将来自多个遥测源的警报相关联，形成可操作的可视化威胁情报，从而在检测和响应过程中更早地阻止威胁。让我们来看看XDR解决方案的内部运作。

统一遥测，更好的检测和响应

XDR应该统一远程用户、网络数据、端点、云端以及未来所有形式的遥测数据。通过正确的XDR方法，分析师可以进行策划检测、全面调查、详细且高度相关的威胁事件，并提供自动化响应建议。分析师可以更简单、更智能、更快地工作，并且他们总是知道下一步该做什么。

注重效率

正确的XDR方法将终结跳转标签页的时代。它将提供一个单一的、全面的中心，可以扩展而没有技术限制。希望SaaS交付能够促进办公室或全球范围内的协作。XDR还应减轻安全团队对分析的严格要求，为您解析和分析警报。

高保真检测

成熟的XDR具有截然不同的信号噪声比。正确的分析方法、威胁情报和检测库背后的努力意味着您可以信任开箱即用的检测结果。并且您的所有不同数据应按用户、资产和活动进行关联。

一键自动化

Forrester表示，XDR应包括可在一键内执行的规范响应式网络安全剧本。您应该期望对于端点威胁遏制、用户帐户暂停以及与Jira和ServiceNow等工单系统的集成等功能有预先构建的工作流。

XDR与SIEM

SOC效率

传统的SIEM是为消耗大量日志数据并为安全团队提供分析能力而构建的。从那里，您需要汇总相关的安全遥测数据，关联发现结果，验证威胁并进行修复。

现在，采用以云SIEM为核心的XDR方法，从您安全运营中心（SOC）的盘子中移除了分析和配置。重点是提高效率，加速事件响应，并在您的日常工作中创造更多的空间。

XDR意味着专家主导

传统的SIEM有很多事情要靠您自己。然而，XDR = SIEM + EDR，所有这些都由专家主导。这意味着团队拥有本地、相关且可操作的遥测数据、高保真检测和规范性的响应剧本。

可见范围

XDR应远远超出SIEM日志的管理和分析范围。数字转型正在加速，“随时随地工作”是新的常态。真正的XDR平台应对这些新的安全挑战，从一系列遥测源和威胁源中识别威胁。

XDR与SOAR

随着要管理的数据量不断增长，调查的警报数量也在不断增加。传统的SIEM解决方案通常不能为分析师提供他们所需的上报优先级的上下文。

这就是XDR真正SOAR的地方。我们指的是它利用安全自动化和响应（SOAR）实践来自动化排除大量误报，并提高进入的警报质量。XDR提炼和引导最有效的SIEM和SOAR实践，将重点放在先进的遥测上，这样团队就可以比传统的被动反应流程更积极主动。

XDR扩展端点安全

EDR是SOC方法论中的关键因素之一-它有助于保护网络中的特定端点，并防止窃取工作站凭据，威胁行为者的横向移动和其他难以捉摸的行为。捕获警报的相关上下文是扩展端点安全的“特殊秘诀”，使分析人员和专家可以更快地采取行动。

统一优先级

一个功能强大的事件检测和响应（IDR）解决方案应该能够利用扩展的端点遥测来提供开箱即用的威胁检测。分析人员可以更快地采取行动，因为他们不必筛选大量的警报；他们可以快速响应排名最高的警报。

XDR上下文+ MDR服务=高级保护

XDR端点解决方案不仅限于基本的威胁检测。增强的端点遥测（EET）使团队能够确切地知道触发特定检测的原因。他们将获得有关事件前后发生的具体情况。并且，在EDR中添加那个重要的“X”意味着团队还将受益于文件完整性监控（FIM），从而为涉及检测的用户和特定资产提供更强大的上下文。

如何评估XDR平台？

如果您正在市场上寻找XDR解决方案，您并不孤单：83%的组织正在增加其威胁检测和响应预算，29%的组织承认存在“盲点”，29%的组织需要减少恢复时间，而27%的组织希望知道如何确定优先考虑哪些威胁。

首先，问一问盒子里面有什么？

许多承诺XDR结果的供应商都假设您将集成-并支付-所需的其他许多网络安全技术，以获得完整的遥测集和扩展环境可见性：端点代理；网络传感器；云连接；用户行为分析（UBA）；日志摄入。

了解包括什么以及您的团队期望带来什么是很重要的。

接下来，了解检测哲学的含义

那么，XDR最令人期待的结果之一是什么？承诺结束嘈杂的警报并提供高保真检测。

询问方法论、威胁情报以及检测库背后的努力是很好的。尝试了解哲学和概念验证。亲自体验检测。最后，通过查看客观的第三方分析或评论来了解更多信息。

不要忘记XDR中的“R”

了解什么被自动化了。分析人员是否准备好采取行动？是否嵌入了指南？XDR应该带走单调、重复的工作，让您从事您训练过的有趣工作-并希望让您及时回家吃饭。现在，超越边界的外部、主动威胁情报已成为对日益动态的攻击表面上的事件作出响应的标准。

Managed XDR是什么？

Managed XDR是由外部网络安全供应商提供的服务解决方案。它融合了上述所有XDR的优势，其中的技术、功能、警报和响应通常由外部供应商管理。Managed XDR减轻了内部安全团队管理扩展检测和响应程序的压力，使SOC可以转移到其他计划和关注的领域。

Managed XDR通常包括数字取证入侵响应、定期威胁搜索、24x7x365监控和攻击者删除功能。通过添加XDR功能，安全团队不再需要跳转到多个工具。一家安全管理服务合作伙伴应该能够提供真正的威胁，并帮助您创建针对攻击和组织受影响的定制补救计划。

当一个SOC与精通XDR功能的MDR提供商合作时，该团队可以确保自己能够继续创新，推动业务向前发展，同时接收具有正确上下文的警报以进行优先级排序。

原文始发于微信公众号（张无瑕思密达）：什么是扩展检测和响应（XDR）？