什麼是 XDR (擴展式偵測及回應)？

XDR 結合威脅情報、自動化和機器學習等功能，能協助企業提升 SOC 的成效，並讓他們更有能力找出最惡劣的威脅發動者並加以因應。XDR 採用率變高主要是因為這項工具能夠協助組織因應兩大資安難題：

1. 偵測會持續改變戰術並以創新方式規避傳統控管機制的威脅發動者，並加以因應。新興威脅日趨複雜，隱匿性也變高，導致傳統 SIEM 系統越來越難偵測到這類威脅，因而更需要 XDR 等多重技術偵測控管措施。

2. 網路資安專業人才短缺 (尤其是威脅搜尋和調查工作方面) 問題日益擴大，為因應這種情況，必須聘僱經驗豐富且具備充分專業知識的資安專業人員。

並非所有 XDR 系統都相同。雖然某些單一堆疊 XDR 系統的設計目的就是以廠商的產品套件取代現有安全性解決方案，但混合或開放式 XDR 系統則是各家廠商皆通用，可與現有技術相輔相成。混合式 XDR 解決方案若與 SIEM 和 SOAR 解決方案搭配使用，便可大規模為企業提供更強而有力的威脅搜尋、偵測與回應機制及更優異的效能表現，協助他們讓資安投資發揮最高效益。

舉例來說，雖然 SIEM 系統和 SOAR 平台的部署時間較長，而且還需要資安工程師執行額外的編碼和程式設計作業，以及持續動手維護，但 XDR 通常以 SaaS 為基礎，因此部署作業和後續的管理工作都較為簡單。此外，XDR 還會自動為即時威脅情報與安全性資料建立關聯，免除工程師動手執行程式設計的麻煩。XDR 與第三方安全性工具整合，並能自動回應每個警示，可確保不會有事件發生了卻未偵測到的情況，同時也為資安團隊提供抵禦惡意事件的可行步驟。

尋找 XDR 解決方案時，有幾項特點應特別留意，以確保該解決方案支援最頂尖的技術、可大規模執行，且能協助組織掌握有利的網路防禦優勢：

• 各種控管機制皆通用：與多種技術整合，不必受制於特定廠商
• 以機器為基礎的關聯建立與偵測功能：能更快分析更大型的資料集，並減少誤判的次數
• 預先建構的資料模型：整合威脅情報，且會自動偵測和回應，無需軟體工程師執行程式設計或建立規則
• 與 SIEM、SOAR 和案件管理工具整合：XDR 能讓企業發揮最高投資效益，不需要替換這類產品
• 與安全性驗證機制整合：XDR 如果與安全性驗證機制搭配運作，企業資安團隊便可持續瞭解其安全堆疊是否有效、哪裡有弱點，以及要採取什麼步驟來補救效能落差

Mandiant Advantage 具備組織希望 XDR 提供的調查與分類功能，但我們未提供安全性控管措施或 SIEM/資料存放區。我們透過搭配使用您現有的解決方案來創造成果，並確保您掌握 XDR 引擎帶來的所有好處。