术语“扩展检测和响应”或XDR是 早在2018年就出现了,但定义仍有很大差异。对于XDR是什么以及它与安全分析平台有何不同,没有可靠、公正的解释,这导致了混淆和忽视,认为它不过是另一个网络安全营销时髦词。
为了澄清这一点,Forrester发布了关于什么是XDR、什么不是XDR以及客户在评估XDR解决方案时需要寻找什么的研究。本研究基于XDR最终用户和40多家安全供应商的访谈和调查结果,对XDR解决方案的期望进行了严格的细分。
下面是对报告的一个简短摘录的改编,该摘录定义了XDR并解释了XDR的起源。完整的报告要深入得多,并提出了有益的建议。
XDR的出现是由于端点检测和响应(EDR)给事件响应带来的价值,以及将EDR数据与无法单独从端点捕获的额外遥测数据配对的意愿。Forrester将XDR定义为:
EDR的发展,它优化了威胁检测、调查、响应和实时搜索。XDR将与安全相关的端点检测与来自安全和业务工具(如网络分析和可见性(NAV)、电子邮件安全、身份和访问管理、云安全等)的遥测相结合。它是一个基于大数据基础设施构建的云本地平台,为安全团队提供灵活性、可扩展性和自动化机会。
XDR的价值是由其安全分析功能、第三方集成和响应操作驱动的。
为什么XDR来自EDR?EDR是XDR的概念证明。EDR的显著成功验证了它的检测和响应能力允许安全分析师检测威胁、执行调查并实时响应。虽然EDR提供了有效的端点检测和响应,但安全团队需要的遥测远不止端点。安全团队使用安全分析平台、安全信息和事件管理(SIEM)解决方案、NAV和自制的数据湖,将端点遥测与环境其他部分的安全数据相匹配。这些努力取得了不同程度的成功,但资源消耗严重,误报率高,数据量大。
XDR通常被归类为开放的或封闭的,这是令人困惑的,因为open意味着“开源”,这与“开放XDR”的含义非常不同。因此,Forrester将XDR描述为“本机”或“混合”
Forrester将混合XDR定义为:
一种XDR平台,依靠与第三方的集成来收集其他形式的遥测数据并执行与该遥测数据相关的响应操作。
Forrester将本机XDR定义为:一个XDR套件,它与组合中的其他安全工具集成,用于收集其他形式的遥测并执行与该遥测相关的响应操作。
XDR与SIEM相同吗?XDR与安全分析和安全协调、自动化和响应(SOAR)正处于冲突过程中。XDR和SIEM不是会聚而是碰撞。
XDR将与安全分析平台(和siem)在威胁检测、调查、响应和搜索方面展开正面竞争。安全分析平台在数据聚合方面有超过十年的经验,它们应用于这些挑战,但尚未提供足够的企业级事件响应能力,迫使企业优先考虑替代解决方案。XDR正在崛起,通过一种截然不同的方法来填补这一空白,这种方法定位于端点和优化。
XDR和SIEM的核心区别在于,XDR检测仍然固定在端点检测中,而不是采取对大量数据应用安全分析的模糊方法。随着XDR的发展,期望endpoint的供应商定义也会根据攻击者目标的位置发展,而不管它是采用笔记本电脑、工作站、移动设备还是云的形式。
这篇文章是由分析师Allie Mellen写的,它最初出现在 未来的fit技术领导者必须将可持续性作为首要任务
