XDR是一种收集并自动关联跨多个安全层的信息以进行快速威胁检测的方法,它结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR))、端点检测和响应(EDR)以及网络流量分析(NTA),以集中安全数据和事件响应。XDR提供了一种攻击检测模型,它跨越各种可以处理的网络资源,例如各种端点、网络、SaaS应用程序和云基础设施,并提供所有网络层和应用程序堆栈实践的可见性。检测、自动关联和机器学习功能可快速发现事件并响应和阻止现有和新出现的威胁。本文介绍了2022年值得关注的XDR解决方案。思科的XDR解决方案CiscoSecureX是一个云原生内置平台,可将思科安全产品组合与客户基础设施紧密相连。它通过集成的开放式设计简化安全性,在单一界面中提供全面的可见性,并通过自动化工作流程最大限度地提高运营效率。从根本上减少威胁驻留时间和手动操作,帮助企业抵御攻击。CiscoSecureX功能包括:通过跨产品集成提供简化的体验。通过跨产品分析提供统一的可见性。通过事件响应功能提高运营效率。CiscoSecureX提供更好的技术集成和更广泛的用例。SecureX跨电子邮件、端点、服务器、云工作负载和网络收集和关联数据,从而实现对高级威胁的可见性。然后对威胁进行分析、确定优先级、跟踪和补救,以防止数据丢失和安全漏洞。CrowdstrikeCrowdStrikeFalcon是一种基于云的扩展检测和响应解决方案。它使用人工智能和行为分析来提供针对威胁的实时保护。CrowdStrikeFalcon有一个基于云的管理控制台,便于部署和管理。不需要本地设备。CrowdStrikeFalcon的主要特点:与MITRE框架保持一致:CrowdStrikeFalcon是使用MITRE对抗战术、技术和常识(ATT&CK)方法构建的。这确保它能够在新威胁出现时进行调整和防御。该平台连续第二年被评为Gartner端点保护平台魔力象限的领导者。单代理设计:CrowdStrikeFalcon的单代理设计确保不需要单独的端点代理、服务器或云订阅。高级无签名保护:CrowdStrikeFalcon的高级威胁防御功能基于机器学习和行为分析。这使它能够在不依赖签名的情况下针对不断变化的未知威胁提供实时保护。对于所有工作负载:CrowdStrikeFalcon提供跨Windows、macOS和Linux操作系统的完整端点保护;包括虚拟机和云工作负载。企业无需投资任何本地设备。设备和防火墙控制:CrowdStrikeFalcon在Falcon控制台内提供精细的设备和防火墙控制,允许管理员跨网络管理设备和防火墙。API集成:CrowdStrikeFalcon可以使用其强大的应用程序编程接口(API)与其他安全工具和服务集成。组织可以轻松地将威胁防护集成到更广泛的安全策略中。SentinelOneSentinelOneSingularity是一款功能强大的EDR解决方案,可针对各种威胁提供实时保护。它使用机器学习和行为分析来检测和阻止已知威胁和零日威胁。SentinelOneSingularity主要特点:MITREATT&CK框架:SentinelOne在所有MITRE测试和场景中优于大多数XDR解决方案。StorylineFeatureThreatHunting:SentinelOne中的Storyline功能创建了所有端点活动的时间线,允许用户搜索异常行为、了解上下文并确定下一步要采取的行动的优先级。这一功能使SentinelOne成为威胁搜寻的强大工具,为安全分析师提供了他们需要的领先一步的洞察力。用于端点管理的单一代理:SentinelOne使用可部署在所有设备类型和操作系统上的单一轻量级代理。此功能消除了管理多个代理和配置过程的需要,从而节省了宝贵的时间和资源。兼容多种操作系统:SentinelOne可以保护运行在Windows、macOS和Linux操作系统上的任何设备。此外,它还与整个企业的其他安全工具无缝集成,以提供针对所有威胁的全面保护。设备和防火墙控制:SentinelOne为管理员提供了对设备访问和网络防火墙的细粒度控制。此功能使他们能够从单个控制台轻松管理整个公司网络。RESTfulAPI:SentinelOne提供丰富的RESTfulAPI,可以与其他服务和工具无缝集成。这使企业能够在其更广泛的安全堆栈中利用SentinelOne的强大功能。IBMSecurity的QRadarXDR提供了市场上最全面、最开放的威胁检测和响应解决方案之一。人工智能驱动的调查使安全分析师能够快速调查已识别事件的原因和范围,以提高运营效率。QRadarXDR还利用X-ForceThreatIntelligence平台共享安全研究、汇总情报并与同行协作,以提高打击不断变化的网络犯罪活动的准确性和敏捷性。QRadarXDR主要特点:MITREATT&CK框架:QRadarXDR基于MITRE框架设计,它提供了一种通用语言来描述当前威胁情报信息中的行动和策略。IBMQRadarXDRConnect:IBMQRadarXDRConnect是一个基于Web的仪表板,允许安全团队通过一个简单的界面轻松查看和管理所有端点。此功能提供对每个设备的状态、健康状况和配置的集中可见性,从而实现更高效的事件响应和补救工作。IBMQRadarSIEM:QRadarSIEM为实时威胁检测和响应提供智能安全分析。它还与XDR无缝配对,以跟踪攻击每个阶段的恶意活动。IBMQRadarNDR:QRadarNDR是下一代网络入侵检测和预防解决方案,使用户能够检测、调查和阻止整个网络中的威胁。IBMQRadarSOAR:这个智能安全编排、自动化和响应平台使用户能够自动化事件响应任务,与其他工具集成,并管理整个企业的安全异常。RandoriRecon:RandoriRecon是一种强大的威胁情报工具,允许用户发现未知因素并减少攻击面。IBMSecurityReaQta:这个AI统一威胁情报平台可实时洞察所有端点设备的状态和健康状况。ExtraHopExtraHop的动态网络防御平台Reveal(x)360为组织提供了对其基础设施、工作负载和动态数据的可见性。Reveal(x)360每天应用云级AI监控PB级流量,执行线速解密和综合行为分析以检测可疑活动并寻找高级威胁。ExtraHopXDR多次被IDC和Gartner等研究公司公认为网络检测和响应领域的市场领导者。Reveal(x)360主要特点:跨多个环境工作:ExtraHopXDR是一个完全云原生的平台,允许用户检测和响应整个环境中的威胁。这包括本地网络、公共云服务、软件即服务(SaaS)应用程序等。基于云的记录存储和90天回溯:ExtraHopXDR平台的内置存储允许用户执行简化的事件调查。用户还可以设置警报并对检测??到的威胁采取自动操作,使他们能够完全控制自己的安全状况。360传感器:360传感器向所有端点提供实时网络数据流,因此用户可以在威胁出现时检测到它们。实时流处理:ExtraHopXDR强大的数据处理引擎执行实时流处理以检测异常活动并查明恶意行为。MITREATT&CKEnterpriseMatrix:ExtraHop的MITREATT&CKEnterpriseMatrix使用户能够全面了解其安全状况,并帮助他们检测勒索软件、僵尸网络、未经授权的数据访问等。机器学习和全球情报:ExtraHopXDR结合使用机器学习算法和全球威胁情报来帮助用户检测新出现的威胁。SophosSophosInterceptX是下一代端点安全解决方案,结合了深度学习和无签名攻击防御,可保护设备免受最新威胁。SophosInterceptX主要特点:深度学习能力:SophosInterceptX与其他端点安全解决方案的区别之一是它的深度学习能力,它允许软件不断发展并适应新的威胁。反勒索软件技术:该技术使用基于行为的检测来识别勒索软件攻击并在它们加密您的数据之前阻止它们。它还包括一个文件信誉系统,可根据已知恶意文件数据库检查文件。如果发现一个文件是恶意的,它会在它造成任何损害之前被阻止。无签名漏洞利用防护:该技术使用机器学习来检测和阻止最复杂的漏洞利用。它还包括一个应用程序控制模块,允许用户允许或阻止某些应用程序。这确保只有经过批准的应用程序才能在系统上运行,从而进一步保护系统免受攻击。根本原因分析:如果用户确实成为网络攻击的受害者,SophosInterceptX可以通过其根本原因分析功能帮助他们弄清楚攻击是如何发生的。这使用户可以准确地看到出了什么问题,因此他们可以采取措施防止将来再次发生这种情况。托管检测和响应:SophosInterceptX提供托管检测和响应服务,以监控系统是否存在威胁并解决出现的任何问题。TrendMicroTrendMicroXDR是一个XDR平台,可跨多个安全层收集和关联数据。它被ForresterNewWave评为领导者。TrendMicroXDR主要特点:MITREAttackFramework:TrendMicroVisionOne的主要特点之一是它建立在MITREATT&CK框架之上。在最近针对WizardSpider和Sandworm攻击社区的MITREATT&CK评估中,该工具在确保早期攻击预防的保护类别中排名第一。SIEM连接器转发警报:TrendMicroVisionOne的SIEM连接器允许用户将警报转发到他们的SIEM系统。这种集成通过将来自多个来源的数据汇集到一个平台中,提供了组织安全状况的完整画面。动态攻击面风险管理:趋势科技的动态攻击面风险管理是一项持续监控组织攻击面变化的功能。它使用来自SIEM、防火墙、端点和其他来源的数据来识别风险和漏洞。DASRM还包括一个风险评分系统,可以对每个风险的严重程度进行评级,因此用户可以确定首先解决哪些风险的优先级。直观的威胁检测、调查和响应:趋势科技的XDR平台旨在直观且易于使用。它包括使威胁检测、调查和响应更快、更高效的功能。高级工作流和自动化工具:它包括高级工作流和自动化工具,例如SecurityPlaybooks和SandboxAnalysis,以帮助用户简化调查流程和应对威胁。PaloAltoPaloAlto的CortexXDR是一种端点安全解决方案,它承诺通过集成来自任何来源(包括端点、网络、云应用程序和用户活动)的数据来检测和调查事件来阻止攻击。人工智能引擎处理这些数据以识别可疑行为和异常。安全人员可以使用PowerQuery分析平台快速了解根本原因,并在检测到事件时采取适当的措施。CortexXDR主要特性:基于AI的威胁检测:CortexXDR基于AI的威胁检测使用机器学习不断发展和提高其检测和防御新威胁的能力。基于范围的访问控制:此功能允许安全团队准确指定用户可以访问哪些数据和应用程序。这就是您如何防止未经授权访问敏感数据并确保只有授权用户才能访问他们需要的信息。分析引擎:CortexXDR还包括强大的分析功能,允许用户快速轻松地运行数据查询以发现趋势和模式。这是一种快速理解大量数据的工具。ManagedThreat-HuntingService:该服务在识别和调查潜在威胁方面提供专业协助。对于没有专门用于威胁追踪的内部资源的企业来说,这是一个很好的选择。自动根本原因分析:CortexXDR包括自动根本原因分析。它会自动识别安全事件的根本原因并提供修复。目前国内XDR还处于早期探索阶段,只有少数安全厂商发布了基于XDR的应用,如未来智安、亚信安全等。整体来看,虽然XDR是一个融合了多种安全产品的解决方案,是未来安全运营的一种思路,但能否发挥最大的作用,还是要看企业自身的实际情况。
