XDR全名为扩展检测与响应,属于端点安全、安全运营成熟度,属于创新启动期。

XDR是一种基于SAAS的,绑定特定供应商的安全威胁检测和事件响应工具,他将多个安全产品集成到统一的包含所有安全许可组件的内聚安全运营系统中。

XDR解决了什么问题?
1、单兵作战/数据孤岛
2、告警疲劳,误报多
3、全局态势不可见
4、响应处置能力弱

XDR的作用
XDR通过统一的交互框架、统一的数据标准、统一的数据存储方式进行安全数据采集,安全威胁集中分析、安全时间统一处置、响应编排。

XDR的核心作用在于能够跨越不通的数据源与IT架构,集中汇集云、网、端、威胁情报等多元安全数据/工具,并通过机器学习以及大数据,对安全事件、数据进行关联分析,还原攻击路径,对攻击面进行可视化,从而解决安全孤岛。基于动态更新的事件库与预处置事件场景讲产出的告警进行自动化编排与分诊,实现自动化响应。

XDR与EDR、NDR的区别
EDR从端点侧做威胁检测,确实能检测到攻击的准确信息,但是端点检测这种方式需要在用户主机上安装检测agent程序,无法覆盖用户所有的资产。斌且端点检测的部署成本相比网络检测也更高,对于端点的操作系统,硬件配置、网络情况都有要求。

NDR从网络侧做威胁检测,检测到的更多都是攻击的特征或者攻击意图,此时攻击很有可能并未真正发生,或者并未造成严重后果。如果全部转化未威胁事件,则会造成告警风暴,给运营带来困难

所以EDR的特点是检测的深但是覆盖面窄,而NDR的特点是检测的浅但是覆盖面广。
XDR则结合了这两者的全部优点,对于重点资产可采用端点检测的方式,对于其他资产可采用网络检测方式。XDR平台会将这两种能力检测到的原始事件信息进行自动化关联,最终可将这些意思的攻击信息,关联分析形成精准的威胁告警事件。