XDR(扩展检测响应)被 Gartner 定义为“一种基于 SaaS、特定于供应商的安全威胁检测和突发事件响应工具,以原生方式将多种安全产品集成到一个统一的安全运维系统中,该系统统一了所有获得许可的组件。”
XDR 旨在提供对整个组织整个技术栈的威胁的全面了解,改进检测和响应能力,并优化 SOC 性能。该技术通过集成端点和网络、数据和分析以及 SecOps 等安全控制措施,将数据洞见和数据引入检测和响应现代攻击中。
XDR 正在满足企业安全团队的一项关键需求。专家们认为,我们应继续看到越来越多的用户采用这些解决方案,以应对日益频繁和复杂化的网络攻击。
XDR 将威胁情报、自动化和机器学习相结合,帮助公司优化 SOC 性能,并增强其发现和应对最糟糕威胁行为者的能力。XDR 的采用率不断增长,得益于它能够帮助组织解决两项关键的安全挑战:
1. 检测并应对不断改变战术并创新的新方法,以绕过传统控制的威胁行为者。新兴威胁日益复杂和隐蔽,越来越难以被传统 SIEM 系统检测到,因此对 XDR 等多技术检测控制的需求也越来越大。
2. 在网络安全技能普遍短缺的情况下,聘请经验丰富且知识渊博的安全专业人员,尤其是在威胁搜寻和调查工作领域。
并非所有 XDR 系统都一样。虽然一些单栈 XDR 系统旨在用供应商自己的产品套件替换现有安全解决方案,但混合或开放式 XDR 系统与供应商无关,并且与现有技术相辅相成。当与 SIEM 和 SOAR 解决方案结合时,混合 XDR 解决方案为公司提供了更稳健的大规模威胁搜寻、检测和响应机制和性能,从而帮助他们最大限度地增加其安全投资。
例如,虽然 SIEM 系统和 SOAR 平台需要长时间的部署、安全工程师进行额外的编码和编程以及持续的实操维护,但 XDR 通常基于 SaaS,因此部署和持续管理得以简化。此外,XDR 还会自动将实时威胁情报与安全数据关联起来,让工程师无需进行任何实际编程。XDR 与第三方安全工具集成并自动响应每个警报,确保不会漏掉任何事件,并为安全团队提供可操作的步骤来应对恶意事件。
XDR 解决方案需要具备多种功能,以确保其支持最佳技术、大规模性能并有助于实现强大的网络防御地位:
Mandiant Advantage 实现了许多组织从 XDR 中寻求的调查和分类功能,但我们不提供安全控制或 SIEM/数据存储库。我们使用您已拥有的解决方案来交付成果,并确保您获享 XDR 引擎的各项优势。
