什么是 XDR？

XDR 或扩展检测和响应是一种用于威胁检测和响应的网络安全工具。XDR 收集来自许多现有安全层的数据，并为安全运营系统提供一种连贯的、全面的方法。

XDR 关联来自 IT 环境中各种来源的数据 - 端点、网络、电子邮件安全、身份、访问管理、云等等 - 并检测和响应由该数据集表示的环境中的网络威胁。

XDR 很重要，因为网络犯罪的增长率为每年 15%¹，攻击的后果对企业来说可能是毁灭性的。目标组织可能会遭受数据或基础设施破坏、财务资产被盗、生产力下降、知识产权被盗、正常业务运营中断等等。因此，**安全工具对于确保您的业务安全至关重要。**

新的漏洞点和更隐蔽的网络威胁意味着必须投入更多资源来确保基于云的基础设施的安全。为了弥补经验丰富的安全从业人员的不足，企业使用 XDR 技术来帮助自动化威胁的检测和响应。

让我们回顾一下公司基础设施的哪些部分暴露在外

• **网络：**您的网络 - 公司使用的计算设备之间的连接 - 可能暴露于试图获得未经授权的访问并窃取、修改或加密通过您的网络传递的数据的攻击。
• **端点：**连接到您的网络的设备 - 例如客户或员工的笔记本电脑、手机、平板电脑或台式机 - 为攻击者提供了进入和枢纽点，以访问有价值的数据。
• **云：**云简化数据共享也是其最脆弱的功能。威胁通常针对身份验证系统和公共 API。

阅读顶级全球 CISO 如何在威胁不断增加的情况下保护他们的组织。

**网络检测和响应 (NDR)：**网络检测和响应服务仅限于监控网络上的流量。它们分析网络流量以建立“正常”网络行为的基线。超出这些界限的行为会被标记以进行响应。

**端点检测和响应 (EDR)：**端点检测和响应 (EDR) 包括端点的基于签名和基于行为的安全监控，提醒从业人员注意给定设备上的异常或可疑行为，并实现更快的响应。

**托管检测和响应 (MDR)：**托管检测和响应是一种外包服务，为组织提供安全运营能力的基线。它通常使用自己的 EDR 或 XDR 软件版本。MDR 为公司提供监控、分类和调查网络安全威胁的安全人员。

端点检测和响应仅限于端点，因此无法完全覆盖您的攻击面。EDR 可见性范围有限，允许攻击者使用其他攻击方法。

相比之下，扩展检测和响应提供对所有基础设施的全面覆盖。它监控您的端点、电子邮件、服务器、网络和云，以便在任何可能潜伏威胁的地方进行检测和响应。

网络检测和响应的主要区别在于覆盖范围。NDR 与 EDR 一样，是一种孤立的功能，仅限于监控网络流量。它评估、标记和响应网络安全威胁。

XDR 利用更广泛的技术集来扩展检测和响应，以提供更完整的威胁面视图。

MDR 是一种外包服务，为安全团队提供专门的安全分析师，他们负责监控、调查、响应和部署技术。MDR 提供商通常使用各种安全技术（如 SIEM、EDR 和 NDR）来监控和检测威胁。

XDR 将权力交到安全团队手中，让他们分析和应对网络安全威胁。XDR 可以自动响应或提醒从业人员手动响应。

XDR 自动处理原本需要手动执行的复杂任务。XDR 收集来自多个安全产品的数据，为您提供潜在威胁的整体视图。它关联这些不同工具中的遥测数据，并执行高级分析以检测异常和可疑活动。一旦识别出可疑模式，XDR 会自动响应事件或提醒安全团队进行手动响应。根据您配置的响应操作，响应可能包括阻止 IP 地址、隔离用户或阻止域。

XDR 可以帮助安全团队以多种方式

• **集中式分析：**XDR 使安全团队能够通过收集和分析多种类型的数据来发现和修复威胁，无论它们身在何处。
• **对抗警报疲劳：**XDR 对警报进行分类和优先排序，提高从业人员的生产力。
• **提高效率：**XDR 使您的团队能够减少识别威胁或手动关联数据的时间。安全团队可以专注于开发，而不是进行调查。

组织使用扩展检测和响应解决方案来满足多个用例

• 警报分类: XDR 软件可以作为公司防御的第一道防线，检测威胁并帮助分析师对警报进行分类。作为威胁或事件的第一响应者可以提高效率，使事件响应者能够接手并进行主动分析。
• 安全调查: 调查人员可以通过 XDR 的集中式收集、分析和响应功能更快地做出响应。
• 威胁狩猎: XDR 通过扩展可见性、增强关联性和简化跨环境分析来帮助威胁猎手。

• 提高可见性: XDR 解决方案可以提供对端点、网络和云环境的更好可见性。通过集中查看所有数据源，分析师可以快速识别整个组织中的异常情况和可疑活动，这有助于识别潜在威胁。
• 统一分析: XDR 解决方案可以收集和关联来自各种来源的数据，例如日志、端点和网络流量，以提供更全面的威胁态势视图。通过对数据进行上下文化，分析师可以更好地了解威胁的范围并优先考虑他们的响应。
• 提高生产力: XDR 解决方案可以自动化例行任务，例如数据收集、分析和调查，从而使分析师能够专注于更复杂的任务。这有助于缩短识别和响应威胁所需的时间，从而提高整体威胁狩猎效率。
• 丰富的上下文: XDR 解决方案可以与威胁情报源集成，为分析师提供有关已知威胁和入侵指标 (IoC) 的更多信息。这有助于识别新的或新出现的威胁并主动对其进行狩猎。

1. 选择一个 XDR 解决方案，它可以为您提供一个中心位置来进行分析、根本原因识别和补救计划。目标：打破安全孤岛，以获得对整个环境的深入可见性。
2. 寻找提供灵活框架和架构的 XDR 服务，使您能够实施新的用例并扩展以满足组织的需求。
3. 您选择的 XDR 服务必须是集成的，允许您的企业自动化工作负载，从而减少平均响应时间。

Elastic 的无限 XDR 使从业人员能够在有限的资源、脱节的系统以及传统安全工具的局限性下，防御日益复杂的对手，保护快速发展的组织。

在为混合云构建的开放平台上——使用可以阻止勒索软件和高级威胁的代理——Elastic Security 为 SOC 提供了降低风险的武器。通过利用来自整个攻击面的多年数据来推动高级分析，该解决方案消除了数据孤岛，自动化了预防和检测，并简化了调查和响应。

安全是您业务增长的关键。在 Elastic，我们为您提供可扩展、快速的 XDR 技术，使您的团队能够专注于最重要的内容。

• 全球顶级 CISO 如何在威胁不断上升的情况下保护他们的组织
• [网络研讨会] 使用无限 XDR 解锁您的 SOC 阻止威胁
• 如何使用 Elastic XDR 和 Corelight 构建托管检测和响应服务
• 2022 年 Elastic 全球威胁报告