网络安全行业充满了行话、缩写和首字母缩略词。随着从端点到网络再到云的复杂攻击媒介成倍增加,许多企业都面临着一种应对高级攻击的新方法:扩展检测和响应,它又衍生出另一个首字母缩略词:XDR。尽管今年XDR受到了很多业界关注,但XDR仍然是一个不断发展的概念。什么是XDR?XDR与EDR有何不同?和SIEM、SOAR一样吗?2020年以来,随着远程办公和网络攻击的增多,XDR的热度持续攀升。2020年,Gartner将XDR评为第一大安全趋势,并表示XDR解决方案将“提高检测准确性并提高安全运营效率和生产力”。作为EDR市场领导者和新兴XDR技术的先驱,我们经常被要求澄清它的含义以及它最终如何帮助提供更好的防御。这篇文章旨在澄清有关XDR的一些常见问题及其与EDR、SIEM和SOAR的区别。什么是EDR?EDR(端点检测和响应)使组织能够监控端点的可疑行为并记录每个活动和事件。然后将信息相关联以提供关键上下文以检测高级攻击并最终运行自动响应活动,例如近乎实时地将受感染的端点与网络隔离。TerminalDetectionandResponse是一种主动的终端安全解决方案,它记录终端和网络事件(例如用户、文件、进程、注册表、内存和网络事件),并将这些信息存储在终端本地或中央数据库中。结合已知的妥协指标(IOC)、行为分析数据库来持续搜索数据和机器学习技术来监控任何可能的安全攻击并快速响应这些安全攻击。它还有助于快速调查攻击范围并提供响应能力。什么是XDR?XDR是EDR、端点检测和响应的演变。EDR收集并关联多个端点的活动,而XDR将检测扩展到端点之外,以提供跨端点、网络、服务器、云工作负载、SIEM等的检测、分析和响应。这提供了跨多个工具和攻击媒介的统一单一管理平台视图。这种改进的可见性为这些攻击提供了上下文,以帮助分类、调查和快速补救工作。XDR跨多个安全向量自动收集和关联数据,促进更快的攻击检测,因此安全分析师可以在攻击扩大之前快速做出响应。跨多个不同产品和平台的开箱即用集成和预调检测机制有助于提高生产力、攻击检测和取证。简而言之,XDR超越了端点,可以根据来自更多产品的数据做出决策,并且可以通过对电子邮件、网络、身份等采取行动来跨堆栈进行防御。XDR与SIEM有何不同?当我们谈论XDR时,有些人认为我们在以不同的方式描述安全信息和事件管理(SIEM)工具,但XDR和SIEM是两个不同的东西。安全信息事件管理(SIEM)收集、聚合、分析和存储来自整个企业的大量日志数据,而SIEM以一种非常广泛的方法开始了它的旅程:从几乎整个企业的任何来源收集可用的日志和事件数据,以存储多个用例。这些包括治理和合规性、基于规则的模式匹配、启发式/行为攻击检测(例如UEBA),以及跨遥测源查找IOC或攻击指标。SIEM解决方案就像飞行员和空中交通管制员使用的雷达系统。如果没有这个数据安全管理解决方案,企业IT将是盲目的。虽然安全设备和系统软件擅长捕捉和记录孤立的攻击和造成威胁的异常行为,但当今最严重的威胁是分布式的,跨多个系统协同工作,并使用高级规避技术来避免威胁情报检测。如果没有SIEM安全信息事件管理,攻击可能会发生并发展成灾难性事件。然而,SIEM工具需要大量的微调和努力才能实施。安全团队也可能被来自SIEM的警报淹没,导致SOC忽略关键警报。此外,即使SIEM从数十个来源和传感器捕获数据,它仍然是一种被动分析工具,会发出警报。XDR平台旨在应对SIEM工具的挑战,以有效检测和响应目标攻击,包括行为分析、攻击情报、行为剖析和分析。XDR与SOAR有何不同?成熟的安全运营团队使用安全编排和自动响应(SOAR)平台来构建和运行多阶段剧本,以在API连接的安全解决方案生态系统中自动化操作。相比之下,XDR将通过Marketplace实现生态系统集成,并为第三方安全控制提供简单的操作自动化机制。SOAR复杂、昂贵,并且需要高度成熟的SOC来启用和维护合作伙伴集成。XDR的目标是“SOAR-lite”,即简单、直观、零代码的解决方案,提供从XDR平台到连接的安全工具的操作能力。什么是MXDR?ManagedExtendedDetectionandResponse(MXDR)将MDR服务扩展到整个企业,以获得一个完全托管的解决方案,其中包括安全分析和操作、高级攻击搜索、检测和快速响应。MXDR服务通过MDR服务增强了客户的XDR功能,以提供额外的监控、调查、攻击搜索和响应功能。为什么XDR越来越受欢迎?XDR取代了孤立的安全性,并帮助组织从统一的角度应对网络安全挑战。通过包含来自整个生态系统的信息的单一原始数据池,XDR可以比EDR更快、更深入、更有效地检测和响应攻击,从更广泛的来源收集和整理数据。XDR为攻击提供了更多的可见性和上下文,以前未处理的事件将会浮出水面,使安全团队能够纠正和减少任何进一步的影响,并最大限度地减少攻击的范围。典型的勒索软件攻击遍历网络,到达电子邮件收件箱,然后攻击端点。通过独立查看每个变量来解决安全问题会使组织处于不利地位。XDR集成了不同的安全控制,以提供跨企业安全域的自动化或一键式响应操作,例如禁用用户访问、对可疑帐户强制执行多因素身份验证、阻止入站域和文件哈希等。这是通过编写自定义规则来实现的由用户或规范响应引擎中内置的逻辑。通过包含来自整个生态系统的信息的单一原始数据池,XDR可以比EDR更快、更深入、更有效地检测和响应攻击,从更广泛的来源收集和整理数据。这种全面的可见性带来了多项好处,包括:通过跨数据源的关联减少平均检测时间(MTTD);通过加快分类并减少调查时间和范围来减少平均调查时间(MTTI);通过启用简单、快速和相关的自动化来减少平均响应时间(MTTR),从而减少平均调查时间(MTTI);提高整个安全领域的可见性;此外,由于人工智能和自动化,XDR有助于减轻安全分析师的手动工作量。XDR解决方案可以主动快速地检测复杂的攻击,提高安全或SOC团队的工作效率,并为组织带来可观的投资回报。本文翻译自:https://www.sentinelone.com/blog/understanding-the-difference-between-edr-siem-soar-and-xdr/如有转载请注明出处。
