什么是延展检测和响应 (XDR)?
延展检测和响应 (XDR) 是一组工具和数据的整合,提供跨端点、工作负载、用户和网络的延展可见性、分析和响应。
XDR 将端点和工作负载安全功能与对网络和云的关键可见性统一起来,从而减少盲点,加快威胁检测速度,并通过这些域中的权威使用情境信息自动执行修复。

面向未来的 SOC:使用 XDR 实现统一可见性和控制

ESG:XDR 在现代 SOC 中的影响
XDR 如何实现安全保护?
从根本上说,XDR 是对一组工具和数据的整合,它代表了企业安全功能向前迈出的重要一步。XDR 可以访问在整个环境中收集的原始数据,从而能够检测出使用合法软件获取系统访问权限的恶意攻击者。这是安全信息和事件管理软件 (SIEM) 通常无法做到的。XDR 还可以对活动数据自动执行分析和建立关联,使安全团队能够更有效地控制威胁。例如,可以进行扩展以包括网络检测、横向移动、异常连接、信标、外泄和恶意工件的交付。
与 EDR 一样,XDR 也会对威胁做出响应,以遏制和消除威胁。但是,XDR 具有出色的数据收集能力并与环境集成,因此可以更有效地响应受影响的资产。真正的 XDR 平台可提供安全分析师所需的全面可见性和背景信息,以便有针对性地有效应对威胁。这种量身定制的响应不仅有助于控制威胁本身,还有助于控制响应对系统带来的影响。设想减少关键服务器的停机时间的好处。
XDR 包含三个部分:遥测与数据分析、检测和响应。
- 遥测与数据分析:XDR 跨多个安全层监控和收集数据,包括端点、网络、服务器和云。它使用数据分析将来自这些安全层中的数千个警报的背景信息建立关联,以便揭示数量要少得多的高优先级警报,从而帮助避免安全团队不堪重负。
- 检测:凭借卓越的可见性,XDR 能够筛选警报并报告需要响应的警报,还可以在环境中创建正常行为的基准,以便检测利用软件、端口和协议的威胁,并调查威胁的来源,从而避免影响系统的其他部分。
- 响应:与 EDR 一样,XDR 能够控制和消除它检测到的威胁,并更新安全策略以防止再次发生类似的泄露事件。但是,与仅对端点和工作负载执行此功能的 EDR 不同,XDR 除了提供端点保护,还可以跨它触及的所有安全控制点(从容器安全保护到网络和服务器)响应威胁。
XDR 具有哪些优势?
XDR 具备超越 EDR 的功能,利用这些功能可以为保护企业的 IT 环境带来多项切实的好处。这些好处包括:
- 更出色的可见性和背景信息:与 EDR(仅限于端点和工作负载)和第三方安全服务(通常具有有限的视图)不同,XDR 可提供安全环境的全方位视图。通过这样的视图,安全分析师能够看出任意安全层中的威胁(甚至是那些利用合法软件、端口和协议来获得访问权限的威胁),以及攻击的发生方式、蓝图、进入点、其他受影响的人员、威胁的来源位置及传播方式。这些额外的背景信息以及理解这些信息所需的分析,对于快速响应威胁至关重要。
- 优先级:IT 和安全团队通常难以密切关注安全服务生成的数千条警报。借助 XDR 的数据分析和关联功能,可以跨 MITRE ATT&CK 框架对相关警报进行分组,确定警报的优先级并仅显示最重要的警报。
- 自动化:XDR 使用自动化功能来加快检测和响应速度,并消除了安全流程中的手动步骤,这样 IT 团队能够以可重复的方式处理大量安全数据并执行复杂的流程。
- 运维效率:XDR 可全面呈现整个环境的威胁,而不是分散的安全工具集合。所提供的集中式数据收集和响应功能紧密集成到环境和更广泛的安全生态系统中。
- 更快的检测和响应:所有这些优势共同打造出更强大、更有效的安全环境。由于 XDR 具有更高的效率,因而能够更快地检测和响应威胁,这在当今的安全环境中至关重要。
- 更全面的响应:传统 EDR 通常通过隔离受影响的端点来应对威胁,这在端点是用户设备时比较有效,但在关键服务器受到感染时可能会造成问题。凭借 XDR 更先进的功能和更出色的可见性,可以量身定制面向特定系统的响应,并利用其他控制点来最大限度地降低整体影响。
XDR 的应用场景有哪些?
- 威胁追踪:尽管威胁可能已存在于任何给定网络中,但许多安全团队很难有时间进行主动威胁追踪。通过 XDR 的遥测和自动化功能可以自动完成大部分此类工作,这能极大减轻安全团队的工作负担,并且他们可以在执行其他任务的同时开展威胁追踪,仅在必要时才需进行干预。
- 分类:安全团队最重要的职能之一是确定警报的优先级或对警报进行分类,以及快速响应最关键的警报。XDR 使用强大的分析功能,将数千个警报关联到少数高优先级警报,从而帮助筛去干扰。
- 调查:利用 XDR 的广泛数据收集、卓越可见性和自动化分析功能,安全团队能够快速轻松地确定威胁的来源、传播方式以及其他用户或设备可能受到的影响。这对于消除威胁和加强网络抵御未来威胁的能力至关重要。
要避免哪些 XDR 错误?
XDR 是一种强大的安全策略,但要充分发挥其优势,请务必选择能够充分利用其功能的解决方案。选择平台时,请注意以下问题:
- 集成度不足:XDR 仅在完全集成到 IT 环境中时才有效。复杂的集成需要一定的维护工作,这可能会占用您的 IT 团队的时间,并降低您的 XDR 解决方案的效率。
- 自动化不足:自动化是 XDR 最强大的功能之一,因此有效的平台需要能够适应当前状况并执行有针对性的响应,而不仅仅是阻止流量进入受影响的设备。
- 运维复杂性:有用的 XDR 解决方案需要具备整体性且易于安全和 IT 团队使用;否则,您的团队通过实施此解决方案而获得的时间节省,将会被花费在学习和设置解决方案上的时间和精力所抵消。
什么是网络空间安全中的检测和响应?
检测和响应技术利用对系统实时、持续的监控,来检测和调查潜在威胁。然后,检测和响应系统使用自动化来控制和消除这些威胁。
当今,存在许多不同类型的检测和响应解决方案,包括:
- EDR(端点检测和响应):EDR 监控和应对端点中的威胁。这是第一种类型的检测和响应系统,与早期的安全技术相比,此系统能够实现更出色的可见性和更快的威胁响应速度。此外,该系统还改进了恶意软件检测功能,能够捕获更复杂的威胁,例如无文件恶意软件。但是,其作用范围仅限于端点和工作负载安全性,因而难以关联复杂环境中的威胁。
- NDR(网络检测和响应):NDR 扫描网络内的威胁,并在检测到威胁时部署响应。这种类型的检测和响应侧重于内部网络,让安全团队能够查看已经攻破边界的威胁。NDR 使用多种技术的组合(包括 NTA、IDPS、采用无监督式机器学习和有监督式机器学习的网络沙箱)来区分端点之外的恶意活动和良性活动。
- MDR(代管检测和响应):MDR 以外包服务的形式运行,外部专业人员通常使用 EDR 和 NDR 工具对企业的系统执行检测和响应。对于没有内部专业技能或资源来运行检测和响应工具的企业来说,这是一个不错的选择。与 MSSP(代管安全服务提供商)等其他外包安全服务不同,MDR 服务专注于检测和应对在端点、工作负载和网络中检测到的最新威胁。
XDR 和 EDR 之间的区别是什么?
XDR 在环境的所有安全层(负载、设备、用户和网络)中扩展 EDR 的功能。
与 EDR 提供的单一视角不同,XDR 支持跨多个安全层进行遥测和行为分析,这样安全团队能够获知整体情况。
恶意攻击者不会将攻击局限在单个安全层上,安全团队也承受不起仅将视野集中在一个层上。安全专业人员利用 EDR 能够深入了解可能遭到入侵的端点,但这并不足够,当安全团队意识到入侵时,攻击可能已通过网络转移到其他系统。这就是 XDR 的用武之地。通过提供系统中活动的全面信息,避免了可见性漏洞,XDR 使安全团队能够了解威胁来自何处以及它如何在整个环境中传播,便于消除威胁。换句话说,XDR 提供了更强大的分析和关联功能以及全面的视角。
相关解决方案和产品
VMware Carbon Black Cloud
借助满足您需求的智能端点和工作负载保护功能实现安全转型。
VMware Carbon Black EDR
本地部署端点检测和响应 (EDR)。
VMware NSX Network Detection and Response
基于人工智能的网络检测和响应 (NDR)