什么是 XDR？

XDR，或扩展检测与响应，是一种用于威胁检测和响应的网络安全工具。XDR 从许多现有的安全层收集数据，并为安全运营系统提供一种有凝聚力的、整体的方法。

XDR 将来自 IT 环境中各种来源（端点、网络、电子邮件安全、身份、访问管理、云等）的数据相关联，并检测和响应此数据集所代表的环境中的网络威胁。

XDR 非常重要，因为网络犯罪正以每年 15% 的速度增长¹，而且攻击的后果对企业来说可能是毁灭性的。目标组织可能会遭受数据或基础设施的破坏、金融资产被盗、生产力损失、知识产权被盗、正常业务运营中断等等。因此，安全工具对于保持业务安全是必要的。

新的漏洞点和更隐蔽的网络威胁意味着必须投入更多资源来确保基于云的基础设施的安全性。为了弥补经验丰富的安全从业人员的匮乏，企业使用 XDR 技术来帮助自动化威胁的检测和响应。

让我们回顾一下公司基础设施的哪些部分会暴露

• 网络：您的网络（公司使用的计算设备之间的连接）可能会暴露于旨在获得未经授权的访问、窃取、修改或加密通过您的网络传输的数据的攻击。
• 端点：连接到您网络的设备（例如您客户或员工的笔记本电脑、手机、平板电脑或台式机）为攻击者提供了访问有价值数据的入口点和枢轴点。
• 云：云的数据共享简化也是其最脆弱的特性。威胁通常针对身份验证系统和公共 API。

了解全球顶级首席信息安全官如何在日益增长的威胁中保护他们的组织。

网络检测与响应 (NDR)：网络检测与响应服务仅限于监控网络上的流量。他们分析网络流量以建立“正常”网络行为的基线。违反这些界限的行为将被标记为需要响应。

端点检测与响应 (EDR)：端点检测与响应 (EDR) 构成对端点的基于签名和行为的安全监控，提醒从业人员注意给定设备上的异常或可疑行为，并实现更快的响应。

托管检测与响应 (MDR)：托管检测与响应是一种外包服务，可为组织提供安全运营能力的基线。它通常采用自己的 EDR 或 XDR 软件版本。MDR 为公司提供安全人员，他们监控、分类和调查网络安全威胁。

端点检测与响应仅限于端点，因此不能完全覆盖您的攻击面。EDR 缺乏更广泛的可见性，使攻击者能够采用其他攻击方法。

相比之下，扩展检测与响应可提供对您所有基础设施的全面覆盖。它可以监控您的端点、电子邮件、服务器、网络和云，以便在任何可能潜伏威胁的地方启用检测和响应。

网络检测与响应之间的主要区别在于覆盖范围。NDR 与 EDR 一样，是一种孤立的功能，仅限于监控网络流量。它评估、标记并响应网络安全威胁。

XDR 利用更广泛的技术来扩展检测和响应，从而提供更完整的威胁态势图。

MDR 是一种外包服务，为安全团队提供专业的安全分析师，负责监控、调查、响应和部署技术。MDR 提供商通常会结合使用多种安全技术，例如 SIEM、EDR 和 NDR，来监控和检测威胁。

XDR 将分析和应对网络安全威胁的能力交到安全团队手中。XDR 可以自动响应，也可以提醒从业人员手动响应。

XDR 能够自动处理原本需要手动执行的困难任务。它从多个安全产品中收集数据，为您提供潜在威胁的整体视图。它关联这些不同工具中的遥测数据，并执行高级分析来检测异常和可疑活动。一旦识别出可疑模式，XDR 会自动响应事件或提醒安全团队进行手动响应。根据您配置的响应操作，响应可能包括阻止 IP 地址、隔离用户或阻止域。

XDR 可以通过多种方式帮助安全团队

• 集中分析：XDR 使安全团队能够通过收集和分析多种类型的数据，发现并修复任何地方存在的威胁。
• 减少警报疲劳：XDR 会筛选并优先处理警报，从而提高从业人员的工作效率。
• 提高效率：XDR 使您的团队能够减少识别威胁或手动关联数据所花费的时间。安全团队可以将精力集中在开发上，而不是进行调查。

组织使用扩展检测和响应解决方案来实现以下几种用例

• 警报分类：XDR 软件可以作为公司的第一道防线，检测威胁并帮助分析师分类警报。作为对威胁或事件的第一响应者，可以提高效率，从而能够移交给事件响应者并进行主动分析。
• 安全调查：借助 XDR 的集中收集、分析和响应能力，调查人员可以更快地做出响应。
• 威胁搜寻：XDR 通过扩展可见性、增强关联性并简化跨环境分析来帮助威胁搜寻者。

• 提高可见性：XDR 解决方案可以提供跨端点、网络和云环境的更好可见性。通过集中查看所有数据源，分析师可以快速识别整个组织中的异常和可疑活动，这有助于识别潜在威胁。
• 统一分析：XDR 解决方案可以收集和关联来自各种来源的数据，例如日志、端点和网络流量，从而提供更全面的威胁态势视图。通过将数据情境化，分析师可以更好地了解威胁的范围并优先处理响应。
• 提高生产力：XDR 解决方案可以自动执行例行任务，例如数据收集、分析和调查，从而使分析师可以专注于更复杂的任务。这有助于减少识别和响应威胁所需的时间，从而提高整体威胁搜寻效率。
• 丰富的情境：XDR 解决方案可以与威胁情报源集成，为分析师提供有关已知威胁和入侵指标 (IoC) 的其他信息。这有助于识别新的或新兴的威胁，并主动搜寻这些威胁。

1. 选择一个 XDR 解决方案，该解决方案为您提供一个集中进行分析、根本原因识别和修复计划的地方。目标：打破安全孤岛，以便深入了解您的环境。
2. 寻找提供灵活框架和架构的 XDR 服务，使您能够实施新的用例并进行扩展以满足您组织的需求。
3. 您选择的 XDR 服务必须是集成的，使您的企业能够自动化工作负载，从而缩短平均响应时间。

Elastic 的无限 XDR 使从业人员能够保护快速发展的组织免受日益复杂的攻击者的侵害 — 即使资源有限、系统脱节以及传统安全工具存在局限性。

在为混合云构建的开放平台上 — 使用可阻止勒索软件和高级威胁的代理 — Elastic Security 为 SOC 提供减少风险的武装。通过使用攻击面上多年的数据为高级分析提供支持，该解决方案消除了数据孤岛，自动化了预防和检测，并简化了调查和响应。

安全是您业务增长的关键。在 Elastic，我们为您提供可扩展、快速的 XDR 技术，使您的团队能够专注于最重要的事情。

• 全球顶尖的首席信息安全官如何在日益严重的威胁中保护他们的组织
• [网络研讨会] 使用无限 XDR 解锁您的 SOC，阻止威胁
• 如何使用 Elastic XDR 和 Corelight 构建托管检测和响应服务
• 2022 年 Elastic 全球威胁报告