什么是端点检测和响应

公司名称

简介

优势

缺陷

Bitdefender

GravityZone平台将 EPP、端点检测和响应 （EDR）以及网络分析作为云托管或本地解决方案相结合。Bitdefender还提供托管检测和响应（MDR）服务。

Bitdefender继续投资于提高检测精度，强化和补丁指导。它提供了良好的代理性能以及对各种操作系统的支持。

Bitdefender最适合B型和C型组织，适合北美和欧洲、中东和非洲地区那些想要全面、单一解决方案的组织。

Bitdefender拥有一支庞大的研发团队，专注于威胁研究，并且在基于文件和无文件的恶意软件防护测试中始终表现最佳。

Bitdefender为物理，虚拟和云平台提供单一的模块化代理，并为所有端点/服务器安全管理提供单个SaaS控制台。它还为中型企业提供了补充性安全工具，例如补丁管理，电子邮件过滤，移动性和文件沙箱。

由许多检测层和自动响应操作支持的低开销EDR产品在客户体验方面具有很高的排名。事件响应 UI 提供了良好的可视化分析功能，并详细介绍了映射到 MITRE 技术的可疑行为。

Bitdefender提供了许多可以减少端点攻击面的功能，包括用户风险，应用程序控制，漏洞和配置管理，修补，全盘加密，Web内容过滤和设备控制。

Bitdefender EDR 功能缺乏高级威胁追踪、自动威胁源集成、自定义阻止规则、基于角色的高级管理和事件处理工作流。

Bitdefender补丁管理模块，防火墙模块和沙箱分析功能尚不适用于Linux平台。

应用程序控制功能仅适用于本地平台。

虽然Bitdefender已采取措施扩大其企业影响力和销售业务，但Gartner客户之间的心智份额仍然很低，这反映在市场响应能力的低排名中。

BlackBerry

黑莓最近重新命名了所有Cylance产品，包括EPP工具，现在是BlackBerry Protect;EDR工具，现在是黑莓光学;及其MDR产品，现在是BlackBerry Guard。

投资领域包括新的Spark Suites，将BlackBerry的统一端点管理工具与其统一端点安全工具相结合，该工具还包括新的BlackBerry Persona，它结合了持续的用户身份验证，以主动解决被盗凭据，内部威胁和物理设备泄露问题。

对于寻求性能影响较低且脱机运行良好的云托管功能的 B 型和 C 型组织而言，BlackBerry 是一个不错的选择。大多数黑莓客户都在北美。

黑莓提供由EPP，EDR，移动威胁防御（MTD）和Persona组成的黑莓网络套件，该套件在单个控制台下运行。Cyber Suite 可跨所有端点设备类型为客户提供更好的可见性、更轻松的管理和更强的威胁检测。

BlackBerry Protect是一种小型，轻量级，基于人工智能（AI）的检测代理，易于部署和管理，并且能够离线工作，这受到具有隔离/气隙系统的客户欢迎。

BlackBerry Protect 在基于机器学习 （ML） 的保护方面享有盛誉。此保护使用具有机器学习的代理端算法来检测基于文件的恶意软件。BlackBerry Optics使用ML来提供用户和实体行为检测功能。

BlackBerry Optics 提供 EDR 功能，以提供端点可见性和事件响应设施。其最新版本扩展了自定义检测逻辑，并添加了包含MITRE ATT&CK框架的新响应功能。

黑莓在其整个产品系列中继续遭受品牌问题的困扰，因为大多数客户并不认为Cylance是黑莓的一部分。删除Cylance品牌需要大量的客户教育，因为大多数用户都知道黑莓是一家历史悠久的移动设备制造商。

黑莓计划为黑莓端点安全工具发布扩展检测和响应（XDR）解决方案，这是继其他供应商之后发布的。因此，黑莓在这项研究中的市场响应能力排名并不高。

BlackBerry Optics在开发和发布新功能方面落后于竞争产品，因为该公司将Optics过渡到云托管的EDR架构，版本3预计将于2021年第2季度发布。

使用 BlackBerry Protect 时，客户端经常报告高级别的误报检测，需要仔细管理文件夹排除。他们还指出，需要添加BlackBerry Optics进行基于行为的检测，以改善检测结果。

博通（赛门铁克）

赛门铁克的地位反映了其进入市场的战略和执行力，这让成千上万的客户争先恐后地寻找支持或替代方案。

赛门铁克对最大客户的新关注已经成功地向大型企业追加销售了更广泛的产品组合。它依靠全球合作伙伴网络为中小型企业 （SMB） 客户提供服务。

赛门铁克的旗舰解决方案 Symantec Endpoint Security Enterprise （SESE） 和 Symantec Endpoint Security Complete （SESC） 提供云托管的 EPP 和 EDR。赛门铁克广泛的解决方案组合共享一个云控制台。

赛门铁克吸引了全球大型 A 型和 B 型企业客户，他们正在寻找价格极具吸引力的集成 XDR 安全解决方案。

将 EDR 和 EPP 功能集成到单个代理和云管理控制台中，以及广泛的端点（包括移动）和服务器覆盖范围是关键优势。赛门铁克在防病毒有效性测试方面继续表现良好，并在2019年和2020年参加了MITRE ATT&CK第2阶段和第3阶段评估。

Symantec Endpoint Security Complete 包括攻击面减少、移动威胁防御、EDR 以及赛门铁克威胁猎人分析师发现的关键事件。此外，Active Directory 的 Endpoint Threat Defense 还改进了对基于身份的攻击的防护。

赛门铁克改进了其 EDR 功能，包括更好地可视化流程沿袭和行为以识别根本原因、内置行动手册以促进分析工作流程、使用云分析进行自动和手动威胁搜寻，以及用于调查和补救的远程 PowerShell 会话。

采用赛门铁克集成网络防御的客户将能够利用来自多个控制点的洞察进行扩展检测和响应。

Broadcom的收购有一个艰难的开端，渠道混乱，与客户沟通不畅。Broadcom专注于向大型企业客户销售广泛的产品和服务组合，这可能与当前和潜在的中小企业组织不一致，特别是那些支持与EPP供应商建立直接支持关系的组织。

2020 年，赛门铁克停止向企业客户提供直接 MDR 和其他托管服务，从而降低了托管服务的得分。

赛门铁克的 XDR 战略仍然缺乏预构建的粒度事件响应和自动化功能，而是依赖于基于 API 的与第三方安全信息和事件管理 （SIEM） 以及安全编排、分析和报告 （SOAR） 解决方案的集成。

SESC 越来越多地为拥有经验丰富的安全运营中心 （SOC） 团队的大型企业组织而设计。对于管理员经验较少的小型组织来说，其控制和策略范围可能过大。

Check Point

在2021年初，Check Point将It's SandBlast Agent解决方案更名为Harmony品牌。Harmony 提供对检测到的威胁的自动修复以及保护和检测功能，包括机器学习、行为分析和自动沙盒分析。最近的开发改进了与Check Point防火墙的集成，集成了跨多个产品的监控和威胁搜索。

检查点存在于所有区域，其产品适合作为现有检查点客户的所有类型的组织。

Check Point报告称其Harmony解决方案的显着增长，该解决方案以云和本地形式提供。虽然主要部署为云，但本地选项使其在不希望使用基于云的技术的行业中很受欢迎。它在2020年的客户体验方面也得分很高。

Harmony 包括各种保护技术，例如电子邮件网络钓鱼防护、内容解除和检测企业凭据的重用。与网络沙箱有很强的集成，这甚至包括分析过程中的文件视频。

用户界面也经过了重大的重新设计，使其更加现代和精简。从分析攻击链到自动删除工件，非常重视威胁的自动修复。这使得它适用于不太成熟的安全组织，并加快了修复速度。

Harmony还涵盖了Android和iOS等移动平台。Check Point 提供的各种安全产品提供了整合和集成的机会，以简化操作和安全性。Harmony套件将其中的几个组合在一个软件包中，以应对远程工作的挑战。

对自动修复的强调意味着Check Point最近才向Harmony添加了其他解决方案的一些威胁搜索和调查功能，例如在自动修复遗漏某些内容的情况下远程访问端点。

Harmony 的占用空间比许多解决方案更大，无论是在内存方面，还是在安装所有组件时使用的服务和进程数量方面。尽管使用机器学习和基于行为的检测，Harmony仍包括基于签名的保护，需要定期更新。

Check Point在2020年的营销战略和执行方面得分较低，尽管拥有具有竞争力的产品集，并且有可能通过其网络解决方案进入广阔的市场，但未能证明与领先供应商竞争的战略。

Check Point具有有限的托管服务产品。

思科

思科的 SecureX 解决方案是一个 XDR 平台，可将其安全端点的 EPP 和 EDR 与安全分析、威胁搜寻和威胁情报集成在一个视图中，以调查和响应威胁。思科威胁响应现在称为 SecureX 威胁响应，是 SecureX 中的调查和响应功能。

SecureX 是云原生的，内置于每个思科安全产品中，并为每个产品提供集中式编排。SecureX还与各种第三方解决方案集成。

除了投资创建 SecureX 平台外，思科还通过 Orbital Advanced Search 功能和相关自动化行动手册增强和简化了威胁搜寻功能。

思科专注于北美和欧洲、中东和非洲市场，业务遍及亚太地区、日本和南美洲。大多数思科客户是 A 型和 B 型企业。

思科在2021年的市场理解方面被评为高。思科通过 Talos 威胁情报、网络和端点行为分析、案例管理和搜寻以及跨产品响应和调查功能增强其 SecureX 威胁响应功能。

思科安全网络分析 （Stealthwatch） 网络流数据被聚合到控制台中，以便从思科自己的网络设备和其他供应商的设备等发出主动警报。

思科通过最近开发的Orbital查询功能引入了诸如自动化行动手册和简化威胁狩猎等改进，以及思科专家的威胁追踪，以吸引拥有成熟SOC团队的组织;自动化行动手册将吸引资源有限的SOC团队。

思科在全球范围内拥有广泛的培训、托管服务和经销商渠道，并通过 Talos 威胁情报为喜欢托管服务的客户提供托管检测和响应服务以及事件响应服务。

虽然思科安全端点代理已从包含第三方内存中漏洞利用防护中受益，但总体而言，其检测功能不如本魔力象限中的领先解决方案全面。

虽然Windows代理通过AMSI和MITRE ATT&CK集成获得了有用的附加功能，但macOS和Linux OS的功能并不那么全面。

远程 shell 设施与此魔力象限中最好的 EDR 提供商不匹配，导致产品和服务得分低于领先的竞争对手。

思科的SecureX XDR平台更多地吸引了那些还拥有思科网络解决方案（例如Firepower或身份服务引擎[ISE]）或Duo身份验证，Umbrella云安全和AnyConnect VPN的客户。

CrowdStrike

CrowdStrike是这个魔力象限的领导者。

其Falcon平台包括一个EDR产品，专注于检测和响应能力，以识别和修复高级威胁;但是，它还具有基于文件的恶意软件防护，利用静态和行为ML来防范已知威胁。

CrowdStrike继续投资于其他功能，例如，收购Preempt Security和Humo，并引入了高级防火墙管理以及移动设备保护选项。

CrowdStrike主要出现在北美和欧洲、中东和非洲地区。产品适合A型和B型组织，没有安全人员的C型组织可以选择使用托管服务;部分或完全托管。

CrowdStrike Falcon在单个代理中提供所有核心EPP功能，客户对附加第三方解决方案的资源利用率和店面表示赞赏。易于使用的管理控制台和简化的部署体验为市场理解和创新提供了高评价。

CrowdStrike作为端点安全的唯一解决方案，在市场上享有盛誉，适用于希望整合其EPP和EDR代理/解决方案的组织。Falcon X 威胁情报和威胁图基于云的数据分析提供了检测高级威胁并分析用户和设备数据以发现异常活动的能力。

CrowdStrike拥有强大的品牌知名度，并围绕其专业服务建立了声誉。Falcon OverWatch和Falcon Complete服务受到高度评价，并受到没有自己的SOC /威胁狩猎团队的客户以及希望成熟/增强其内部安全运营团队的客户的欢迎。

CrowdStrike拥有一个被攻击者高度针对的客户群。因此，它始终如一地及早适应攻击技术的变化。它在MITRE第2阶段评估中取得了积极成果，始终如一地确定了战术和技术。

CrowdStrike Falcon部署通常需要额外的成本选项来提供全方位的功能，与更具包容性的竞争解决方案相比，这会增加总体成本。此外，对于多年合同，CrowdStrike坚持预付款。这反映在此魔力象限中较低的定价得分上。

威胁图标准版在标准选项中仅保留七天的丰富传感器数据;更长的保留选项可作为附加组件提供，其比本研究中其他参与者的默认保留期短。但是，与检测相关的详细信息和摘要在各个选项中分别提供 90 天和一年。

CrowdStrike在满足无服务器云系统安全性和容器工作负载运行时保护的需求方面进展缓慢，尽管容器运行时安全功能已于2021年2月宣布。

尽管收购了Preempt Security并与Proofpoint，Netskope和Okta建立了新的合作伙伴关系，但CrowdStrike的平台还不被认为是一个强大的XDR解决方案。然而，CrowdStrike最近宣布收购Humio，这应该会加强其XDR的故事。

Cybereason

Cybereason是这个魔力象限中的一个有远见的人。

Cybereason 防御平台是一个云原生解决方案，提供 EPP 和 EDR 功能。它还提供移动威胁防御解决方案、托管检测和响应以及事件响应服务。

Cybereason在SOC活动的自动化以及其AI狩猎引擎方面进行了投资。

Cybereason适用于A型和B型组织。其托管服务使其对寻求外包的C型组织具有吸引力。

Cybereason 防御平台在云中收集全面的近乎实时的端点遥测数据流，并将已知恶意软件和跨多个资产的未知恶意软件的行为检测相关联，以显示完整的攻击时间线。该解决方案还可以使用来自选定网络、域控制器和其他外部源（如 Office 365 和 G Suite）的数据。

管理控制台高效且易于使用。威胁调查由根本原因分析、可视化调查、自动化和自定义检测功能辅助。修复选项是自动创建的，可以从控制台跨所有受影响的计算机启动。手动修复由远程 shell 辅助。快速分类操作（如终止过程、隔离或隔离）可以是手动的，也可以是自动的。

Cybereason正在通过合作伙伴产品增强集成功能，提供停用或暂停帐户，强制多因素身份验证（MFA）或删除电子邮件收件箱中的邮件等操作。

Cybereason提供本地或混合部署选项，并支持Windows，Mac，Linux和移动覆盖;此外，它还支持在 Kubernetes 节点中提供无代理保护的容器。PC 策略选项包括从控制台控制 Microsoft 个人防火墙、磁盘加密和 USB 保护。

虽然全球总部位于美国，但Cybereason在美国的市场份额和心智份额仍然很低。

该解决方案不提供任何强化指导，例如漏洞或配置管理或报告。

Cybereason不提供任何网络沙箱解决方案或相关网关，例如安全电子邮件网关（SEG）或安全网络网关（SWG），尽管它确实与G Suite和Office 365集成了API和syslog数据。

新发布的XDR平台中的第三方集成受到限制，Cybereason还没有自己的其他遥测源，例如网络或身份数据。

ESET

ESET是这个魔力象限中的挑战者。

ESET 的产品集合包括端点安全 （EPP）、企业检查器 （EDR）、动态威胁防御（沙盒）、威胁情报和托管服务。

ESET 的旗舰产品 ESET PROTECT Enterprise 已通过云管理、浏览器防篡改功能、Windows Management Instrumentation （WMI） 扫描和 Apple FileVault 2 加密管理得到增强。

ESET 将主要吸引较小的 B 类和 C 类组织，以获得可靠的 EPP 和 EDR 解决方案，该解决方案具有可通过本地服务器管理的轻量级代理。

ESET 将轻量级客户端与可靠的反恶意软件引擎相结合，可获得始终如一的良好恶意软件有效性测试结果。它是机器学习技术的早期采用者。ESET是已发布安全研究的显着来源，可通过其WeLiveSecurity网站获得。

ESET 最近通过 WMI 和注册表扫描、基于脚本的检测和 PowerShell 执行扫描增加了对无文件恶意软件的更多支持。

ESET 管理控制台提供 23 种语言版本，非常适合全球分布的企业和需要区域本地化的企业。

ESET客户对供应商的客户服务和服务质量赞不绝口。在某些国家/地区，ESET 提供免费实施服务。

ESET 在完全采用企业级 EDR 功能和云产品交付方面进展缓慢。

ESET 保护云不管理企业检查器或无代理虚拟化安全性。

ESET 不提供直接面向客户的 MDR 服务;相反，它依赖于选定区域中的独家合作伙伴交付。

ESET 不提供任何漏洞或配置管理功能来帮助主动强化终端节点。

FireEye

FireEye是这个魔力象限中的利基玩家。

FireEye 的 XDR 平台提供端点、电子邮件、Web 云、SIEM 和网络安全，所有这些都由一个通用的 SOAR 控制台提供支持。Mandiant是其服务部门，拥有适合目标行业的安全服务。据报道，FireEye正在与市场保持一致。

最近的投资是预防和调查，以及Linux和macOS功能的检测和扩展（macOS Big Sur支持），身份欺骗面包屑，远程shell和PowerShell恶意事件检测。

FireEye Helix是一个云托管的XDR平台;但FireEye确实提供了一个可以在本地托管的端点管理控制台。

FireEye的吸引力主要在于A型组织，这些组织需要一个具有深度网络威胁情报能力和服务的整体安全平台，并且将其视为特定于EPP的安全供应商。

FireEye 端点安全为端点威胁和勒索软件提供多个防御引擎。它包括Bitdefender防病毒引擎，该引擎可阻止高度流行的恶意软件;和MalwareGuard，这是针对独特恶意软件的FireEye机器学习引擎。EDR 搜寻功能包括查询端点上的实时数据，以及向 Helix 发送不太详细的流事件和元数据。

作为产品组合提供商，FireEye 拥有广泛的安全功能，使其能够跨所有安全控制点协调威胁情报发现，并提供集成的事件响应。FireEye Endpoint Security受益于Mandiant违规调查团队的威胁情报，以及FireEye产品的共享威胁指标。

FireEye 修复选项包括提取完整的取证和威胁伪影，获取已删除或受系统保护的文件（不中断系统操作），以及实时命令和批处理脚本。

FireEye通过两项服务提供全球托管检测和响应：Mandiant托管防御，提供全面的安全服务;以及新推出的“按需专业知识”，使客户能够根据其特定需求定制服务。

FireEye仍然缺乏云原生EPP / EDR SaaS管理产品，用于那些不想围绕Helix标准化其SOAR策略的组织。

管理控制台专为经验丰富的事件响应者而设计。今年，通过反向外壳功能增强了修复能力;然而，调查和补救指导仍然薄弱。

FireEye的默认设置是将数据存储在客户端本地，并且仅在检测到可疑活动时才发送更完整的分类信息。在事件期间，本地数据可能不可访问。事件流程序模块需要以系统日志格式流式传输数据以进行集中存储。

FireEye缺少端口控制和移动威胁防御等一些常见功能，并且不提供系统强化指导。

Fortinet

Fortinet是这个魔力象限中的利基玩家。

Fortinet 是一家平台供应商，提供云安全、防火墙、电子邮件安全、沙盒和端点安全软件等。2019 年对 enSilo 的收购提供了急需的 EDR 功能和遥测功能，以增强 XDR 设施。

2019/2020年的投资重点是增强新收购的enSilo EDR，与Fortinet Security Fabric集成并引入FortiXDR。FortiEDR 增强功能包括攻击面减少、漏洞扫描和应用程序/企业物联网 （IoT） 发现工具。

Fortinet 遍布全球，其产品非常适合寻求集成 XDR 安全平台的 B 型和 C 型组织。

使用多个 Fortinet 产品的客户可以在单个控制台中跨不同的 Fortinet 设备进行统一监视和控制。FortiClient 无缝集成到这个生态系统中。这对于远程用户连接到企业 VPN 时的状态检查特别有用，以确保设备满足 IT 合规性要求。

FortiClient 和 FortiEDR 都具有最小的代理占用空间，并且易于部署和管理。

FortiClient和FortiEDR具有广泛的平台覆盖范围，涵盖了大多数主要的Linux发行版。

在过去的一年里，随着Fortinet收购enSilo，FortiEDR有了显著的改善。

Gartner 认为，在 Fortinet 的网络安全客户群之外，Fortinet 的端点安全解决方案很少被采用。

Fortinet 的核心重点是一个完整的安全生态系统，其中端点安全只是一个组成部分。单独来看，FortiClient 的功能集不如本研究中领先供应商的 EPP 组件完整。

FortiClient 仅提供移动内容过滤，目前没有计划将 MTD 集成为解决方案的一部分。

FortiNet没有参与2019年的MITRE ATT&CK第2阶段评估，因此尚未在公开测试中评估其使用FortiClient和FortiEDR的全杀伤链功能的有效性。然而，Fortinet参加了3期评估，尽管在这项研究时没有结果。

F-Secure

F-Secure是这个魔力象限中的利基玩家。

F-Secure 在通过专家托管服务提供端点保护方面有着良好的记录，在 2018 年增加了 EDR 及其 Countercept MDR 服务，并从 2020 年第 1 季度开始引入威胁搜寻。

最近的投资包括通过其Blackfin AI研究流和新的威胁追踪功能开发先进的ML模型和异常检测。

F-Secure 的主要市场是 EMEA 地区，在全球所有其他地区都有业务。F-Secure 客户通常是 B 类和 C 类中型和小型企业，而 Countercept MDR 服务和咨询客户通常是大型企业。

F-Secure 在其云解决方案中对 Linux 保护、代理资源利用率和部署选项进行了增量改进。Windows和Mac代理现在添加了响应选项，包括自动化，对Mac和Linux的更广泛检测以及改进的补丁管理。

对服务器的保护也得到了增强，在 DataGuard 设施中提供了应用程序控制、防篡改和勒索软件恢复能力，以及灵活的基于使用情况的月度订阅。

威胁追踪现在是EDR解决方案的一部分，与新开发的Blackfin设备级AI一起检测异常活动并提供更多的自动化响应机会。

F-Secure 的 EDR 产品在今年的魔力象限中获得了良好的创新成绩，易于设置和使用，并且具有一个独特的选项，可以直接从控制台向 F-Secure 的威胁猎人提升警报，并具有两小时的 SLA。

与本研究中的领先解决方案相比，F-Secure的第三方SIEM和SOAR集成机会更有限。虽然其XDR平台目前仅限于EPP / EDR和Microsoft 365遥测，但更广泛的功能正在路线图上。这些点导致视力完整性评级较低。

虽然 F-Secure 主要通过咨询和 MDR 业务向北美市场扩张，但该地区客户还有更多成熟的竞争性 EDR 解决方案。

F-Secure 在开发本机云工作负载保护以及容器和无服务器解决方案方面进展缓慢，因此不是部署这些工作负载的组织的首选。

在这项研究中，F-Secure没有一些领先供应商的全球影响力或广度，因此在地理覆盖范围方面的得分较低。

McAfee

McAfee是此魔力象限的领导者。

McAfee开发了新的 MVISION 战略，将McAfee产品组合整合到 XDR 解决方案中。McAfee的标准终端产品将勒索软件回滚等高级保护功能与本机操作系统功能相结合。McAfee 的高级 MVISION EDR 软件包现在包括 MVISION Insights，它可以确定威胁和对策的优先级，并相应地指导响应人员。

产品主要存在于北美和欧洲、中东和非洲，适合 A 型和 B 型组织，也可选择没有安全人员的 C 型组织。

McAfee MVISION Insights是其核心平台产品的一个受欢迎的补充，允许用户管理其攻击面并在攻击发生之前抢占攻击。这提供了其他解决方案中看不到的差异化功能集。

MVISION EDR现在针对MITRE ATT&CK框架绘制威胁，这有助于McAfee在MITRE评估中一致地识别技术;此外，自动化的AI引导调查功能使用MITRE ATT&CK框架来推动更快，更轻松的警报分类。

MVISION EDR 包括广泛的修复功能和高级 SOC 工作流功能。用户界面易于使用，EDR 功能现在与市场领先的同类产品相匹配。

McAfee 继续提供广泛的操作系统支持，特别是对于那些仍然需要旧版和旧版操作系统代理和/或仍然需要本地解决方案或应用程序控制等附加组件的客户。2021年运营得分高，因为所有地区的各种客户支持和培训设施都获得了高分。

McAfee 在将其传统客户群转换为 MVISION 方面进展缓慢。其许多客户端仍在使用本地版本的 McAfee ePolicy Orchestrator （ePO） 和 McAfee Endpoint Security （ENS）。

对于某些 McAfee 客户，从旧版本的 McAfee ePO 和 McAfee VirusScan Enterprise 到 McAfee ENS 的升级仍在进行中。研发工作和销售重点是云解决方案，本地客户应尽快升级。

McAfee已宣布正式发布其 XDR 解决方案。但是，为 XDR 做出贡献的产品尚未包括网络流量分析、云访问安全代理 （CASB） 或用户和实体行为分析 （UEBA）。

托管检测和响应解决方案于去年推出，尚未得到客户的广泛采用。

微软

微软是这个魔力象限的领导者。

Microsoft Defender for Endpoint （MDE） 从单个云托管的控制台和数据湖中提供一套集成且全面的 EPP、EDR 和威胁搜寻功能。Defender Antivirus在Windows操作系统中提供的本机保护和预防被广泛使用并受到客户的欢迎，并且还被此魔力象限中的其他供应商所利用。

微软在2020年投资了其操作系统覆盖范围，引入了重要的新macOS和Linux保护功能，并开发了威胁和漏洞管理以及攻击面减少增强功能。微软还增加了对Android和iOS设备的覆盖范围。

微软在全球范围内吸引所有组织类型，尤其是大型企业。

微软今年在市场理解和创新方面继续获得高分。Defender for Endpoint 和 Windows 10 中内置的保护引擎在这一年中呈指数级发展，并在每个 Windows 版本中添加了新功能，以创建一组全面的安全层。

macOS 和 Linux 操作系统现在还具有端点保护以及威胁和漏洞管理选项，这些选项完全集成到同一管理和报告控制台中。

所有 Defender 产品共享一个通用的云托管控制台、底层数据湖和 API，从而实现统一的威胁搜寻、出色的自动化并创建真正的 XDR 平台。

Microsoft 已将 Defender 365 控制台与所有 Defender 产品之间的协调预防、自动修复和威胁搜寻统一起来。其他新增功能包括威胁情报报告和学习中心，使查找产品培训变得更加简单。

Microsoft 不为已达到其支持生命周期终点的 Windows 旧版系统提供支持，尽管许多组织仍然拥有大量此类系统。缺乏传统支持意味着微软的市场响应能力得分较低。

对于维护气隙网络和/或不直接将（例如，服务器或工作站）工作负载连接到 Internet 的组织，云托管解决方案是不切实际的，因为没有在本地托管控制台的选项。

提供 MDE 的 SKU 和不提供 MDE 的 SKU 在功能和成本方面存在巨大差距 ，因此，一些组织无法证明 Microsoft Defender for Endpoint 的成本溢价是合理的。对于这些客户来说，在安全捆绑包之外单独许可 Microsoft Defender 也不具有成本效益。这导致在2021年销售执行/定价魔力象限中的得分低于领先供应商。

（E5）中央威胁专家设施并不等同于竞争供应商更定制和定制的MDR服务，而为缓解威胁搜寻的复杂性而开发的Kusto查询语言没有兑现这一承诺，因为它学习和使用起来很复杂。

熊猫安全

熊猫安全由WatchGuard全资拥有，是这个魔力象限中的利基玩家。

Panda更名的Cytomic Covalent是一个完整的EDR解决方案，包括用于加密和修补的模块，以及用于增强监控和报告的Cytomic Insights。其他功能包括设备控制、Web 访问控制、数据丢失防护 （DLP） 和系统管理。

Panda在其Cytomic EDR和Orion产品中投资了更丰富的EDR功能，以及与第三方安全工具的重要SIEM集成和其他API连接。Panda的端点解决方案预计将于2021年夏季集成到WatchGuard统一云平台中。

Panda最适合EMEA的B型和C型组织，计划于2021年扩展到北美。

Panda将EDR和MDR服务与附加工具相结合，可满足端点保护以外的各种安全需求，例如加密，漏洞和补丁管理以及设备控制。与它们取代的早期Adaptive Defense 360相比，这些更好地集成到更名的Cytomic和Orion软件包中，使Panda的产品得分高于之前的魔力象限。

Panda支持全面的操作系统，包括虚拟化系统和虚拟桌面基础架构（VDI）桌面的覆盖范围，并增加了Android移动设备安全性。

Panda通过专家团队提供一小部分未识别或未知物品的100%证明，从而降低误报和错过检测的可能性。

母公司WatchGuard在美国和其他地方拥有现成的经销商渠道，极大地扩展了Panda产品的覆盖范围，但也提供了一个有趣的机会，将端点和网络安全遥测相结合进行分析和狩猎。

Panda尚未开发云工作负载保护，以及容器和无服务器安全解决方案，因此它主要吸引具有传统服务器托管的客户。

将MITRE ATT&CK分类集成到警报和威胁可视化中并不像本研究中的领先供应商那样全面，他们已经添加了这些增强功能。

虽然它自己的传感器和遥测技术集成度更高，并且可以使用威胁搜寻，但当前的平台并不具备领先的XDR系统的自动化，分析和可扩展性。但是，预计将在2021年下半年整合来自公司更广泛产品组合的更多遥测源。

熊猫对A型企业客户的吸引力有限。因此，今年的整体生存能力得分较低。然而，供应商声称，由于其新的所有权和相关机会，这种情况将有所改善。

SentinelOne

SentinelOne是这个魔力象限的领导者。

SentinelOne的Singularity平台，其XDR解决方案，于1H20推出。它将第三方集成添加到新的云平台和数据湖上托管的现有EDR和威胁追踪中。通过最近收购 Scalyr，XDR 解决方案得到了进一步的增强。

2020年的投资包括通过Storyline Active Response功能提供更多自动化缓解选项，以及其Ranger产品中新的物联网发现和保护功能。

北美和EMEA市场是SentinelOne的支柱，向印度和中东的扩张是目标。它具有适合每个区域中所有组织类型的选项。

SentinelOne 客户列举了易于部署、出色的及时性和客户支持质量以及有效的保护，所有这些都在本次分析中得分很高，并反映在今年魔力象限中对其产品和服务的评级中。

由于该解决方案已经过重新设计以利用微服务架构，因此提供了灵活的托管选项，以适应所有客户和快速/频繁的功能更新。

SentinelOne增加了对容器和无服务器工作负载的支持，特别是Kubernetes动态工作负载，并增加了运行时保护和简化的部署。

SentinelOne在MITRE第2阶段评估中表现出色，对战术和技术的一致识别以及高检测率和很少的失误。

虽然SentinelOne专注于将第三方集成到Singularity控制台中，但其自己的传感器系列并不像其他XDR平台那样全面，而且SentinelOne没有自己的网络安全源可以添加，尽管它通过Ranger进行了设备发现。

虽然 SentinelOne 拥有自己的 Vigilance MDR 解决方案、第三方托管服务提供商 （MSP） 和扩展的经销商网络，但 SentinelOne 在其托管服务的范围和范围方面尚未达到一些魔力象限领导者的得分。

从其他企业解决方案迁移的新 SentinelOne 客户将错过附加组件，如功能齐全的 DLP 和其他未提供的额外功能。

SentinelOne为有气隙和本地管理要求的客户提供混合模式;但是，除非端点代理可以将遥测数据转发到云，否则该解决方案将缺乏高级分析和威胁追踪。

Sophos

Sophos是这个魔力象限的领导者。

2020年3月，私募股权公司Thoma Bravo完成了对Sophos的收购。

Sophos Central 是用于 EPP、EDR 和 MTD 的单一控制台，可在所有端点类型中提供更好的可见性、更轻松的管理和更强的威胁检测。它还管理磁盘加密，服务器保护，防火墙和电子邮件网关。

投资主要集中在 Sophos Central 云托管解决方案上，包括对实时响应、取证和设备发现数据的增强。

Sophos 最适合 A 型和 B 型组织，为没有安全人员的 C 型组织提供选项。客户主要分布在北美和欧洲、中东和非洲地区。

Sophos 是首批在安全工具之间提供 XDR 式集成的供应商之一。

Sophos 的托管威胁响应在 2019 年 6 月收购 Rook Security 后为其 MDR 提供了扩展功能。

Sophos 添加了更好的威胁搜寻功能，专门针对大型企业客户。

Intercept X客户端继续报告对产品防范大多数勒索软件的强烈信心，并且能够回滚由逃脱保护的勒索软件进程所做的更改。

本地功能缺乏与 SaaS 版本的功能奇偶校验，导致客户端无法获得最新功能，除非它们迁移到云产品/服务。

Intercept X代理的足迹很大，这在大流行带来的新的在家工作现实中尤其成问题。客户端报告低带宽用户难以安装软件更新。

Live Discover使用非常详细的SQL级界面，对于某些管理员来说，这种界面过于技术性，但预构建的查询可以在界面中和通过社区论坛获得。某些客户端报告了脱机设备的问题以及数据同步到云的相关延迟。

Sophos没有参加MITRE ATT&CK评估的第一和第二系列。

趋势科技

趋势科技是此魔力象限的领导者。

趋势科技通过Apex One平台提供了广泛的功能，并且可以通过XDR附加组件添加更高级的EDR功能，以与其产品组合中的其他安全工具集成。该供应商为所有当前和许多旧版操作系统提供支持，并提供本地、云和混合管理选项。

最近的投资包括用于检测和响应的XDR平台，以及建立一套全面的云工作负载和容器安全工具，统一并更名为Cloud One。

趋势科技最适合 B 类和 C 类组织。它的业务遍及全球，但在亚太地区最受欢迎，尤其是日本。

广泛的平台覆盖范围，包括云工作负载和容器，以及通过 Apex One XDR 集成到其他安全工具（如电子邮件和网络流量分析 （NTA））中，可提供更高的可见性和响应能力。

漏洞管理包括优先指导和虚拟修补，可以在修补之前缓解漏洞，再加上对各种旧平台的支持，这意味着对于需要支持遗留系统的组织来说，这是一个不错的选择。

趋势科技对其云产品表现出坚定的承诺，并在将其现有客户迁移到云解决方案以获得与新平台相关的优势方面取得了良好进展。

趋势科技拥有一套全面的应用程序控制功能，这些功能超越了简单的块列表，还允许管理员定义自己的受控应用程序。

端点代理具有较大的占用空间之一，与其他供应商不同，它需要定期更新检测数据和规则以保持保护。

Apex One目前只有有限的响应能力，更高级的威胁追踪工具需要EDR插件。最近才在 XDR 中添加了与云工作负载保护和网络流量分析工具的集成。自动化和工作流功能不如此魔力象限中的其他领先解决方案强大，而是依赖于通过其 API 与 SOAR 工具的集成。

XDR 平台具有与主 EPP 管理控制台不同的工作流和用户界面，并且与其他一些 XDR 解决方案不同，来自其他产品的数据存储具有不同的保留期。

尽管趋势科技在市场上有着悠久的历史和全球覆盖范围，但尽管趋势科技是最早将检测和响应功能相结合的供应商之一，但趋势科技仍被一些Gartner客户视为传统供应商，导致最新解决方案的采用缓慢，座位数量增长较少。

VMware Carbon Black

VMware Carbon Black 是这个魔力象限中的一个有远见的人。

VMware于2019年完成了对Carbon Black的收购。通过此添加，它具有跨端点，网络和云工作负载的安全覆盖范围。VMware还在其合作伙伴生态系统上取得了重大进展，包括与SIEM和SOAR供应商建立的高级下一代SOC联盟。

投资重点是将Carbon Black整合到现有的VMware虚拟化解决方案中，以及将Carbon Black与VMware基于单个云托管控制台和数据湖的不断扩大的安全工具产品组合集成。

产品主要在北美，适合 A 类和 B 类组织，并在托管安全服务提供商 （MSSP） 和事件响应 （IR） 市场中站稳脚跟。VMware Carbon Black 还吸引了拥有云工作负载和托管端点的 vSphere、NSX 和 Workspace ONE 客户。

VMware Carbon Black Cloud 在单个代理中提供了所有四个核心 EPP 功能，客户非常欣赏其易于使用的管理控制台和简化的部署体验。

VMware Carbon Black 提供云原生控制台和单代理方法，可满足多种使用案例，包括 EPP、EDR、端点查询和修复。它用于事件响应中的高级 EDR。Carbon Black在母公司VMware的新所有权下的可行性和运营方面被评为高评级

收购Lastline（沙盒和入侵检测系统[IDS]）和Octarine（云工作负载保护平台[CWPP]）有助于构建其云工作负载保护能力。

VMware Carbon Black 在 MITRE 第 2 阶段评估中取得了积极成果，具有良好的遥测能力和一致的技术识别能力。

VMware的产品系列，尤其是最新收购的产品，并不像本研究中领先解决方案的等效平台那样久远。

VMware 最近增加了对虚拟化工作负载的覆盖范围，并增加了容器支持。涵盖无服务器工作负载的计划尚未公布。

Carbon Black产品的本地版本不如最新的云托管解决方案先进，VMware仍在从这些解决方案中迁移剩余的少数客户。

希望在没有 Workspace ONE 的情况下使用 VMware Carbon Black Cloud 的客户将体验到缺少的管理和保护功能，例如发现未受保护的设备、管理主机防火墙设置/互联网 URL 过滤和自动化行动手册。