延展检测和响应 (XDR) 是一组工具和数据的整合，提供跨端点、工作负载、用户和网络的延展可见性、分析和响应。

XDR 将端点和工作负载安全功能与对网络和云的关键可见性统一起来，从而减少盲点，加快威胁检测速度，并通过这些域中的权威使用情境信息自动执行修复。

从根本上说，XDR 是对一组工具和数据的整合，它代表了企业安全功能向前迈出的重要一步。XDR 可以访问在整个环境中收集的原始数据，从而能够检测出使用合法软件获取系统访问权限的恶意攻击者。这是安全信息和事件管理软件 (SIEM) 通常无法做到的。XDR 还可以对活动数据自动执行分析和建立关联，使安全团队能够更有效地控制威胁。例如，可以进行扩展以包括网络检测、横向移动、异常连接、信标、外泄和恶意工件的交付。

与 EDR 一样，XDR 也会对威胁做出响应，以遏制和消除威胁。但是，XDR 具有出色的数据收集能力并与环境集成，因此可以更有效地响应受影响的资产。真正的 XDR 平台可提供安全分析师所需的全面可见性和背景信息，以便有针对性地有效应对威胁。这种量身定制的响应不仅有助于控制威胁本身，还有助于控制响应对系统带来的影响。设想减少关键服务器的停机时间的好处。

XDR 包含三个部分：遥测与数据分析、检测和响应。

• 遥测与数据分析：XDR 跨多个安全层监控和收集数据，包括端点、网络、服务器和云。它使用数据分析将来自这些安全层中的数千个警报的背景信息建立关联，以便揭示数量要少得多的高优先级警报，从而帮助避免安全团队不堪重负。
• 检测：凭借卓越的可见性，XDR 能够筛选警报并报告需要响应的警报，还可以在环境中创建正常行为的基准，以便检测利用软件、端口和协议的威胁，并调查威胁的来源，从而避免影响系统的其他部分。
• 响应：与 EDR 一样，XDR 能够控制和消除它检测到的威胁，并更新安全策略以防止再次发生类似的泄露事件。但是，与仅对端点和工作负载执行此功能的 EDR 不同，XDR 除了提供端点保护，还可以跨它触及的所有安全控制点（从容器安全保护到网络和服务器）响应威胁。

XDR 具备超越 EDR 的功能，利用这些功能可以为保护企业的 IT 环境带来多项切实的好处。这些好处包括：

• 更出色的可见性和背景信息：与 EDR（仅限于端点和工作负载）和第三方安全服务（通常具有有限的视图）不同，XDR 可提供安全环境的全方位视图。通过这样的视图，安全分析师能够看出任意安全层中的威胁（甚至是那些利用合法软件、端口和协议来获得访问权限的威胁），以及攻击的发生方式、蓝图、进入点、其他受影响的人员、威胁的来源位置及传播方式。这些额外的背景信息以及理解这些信息所需的分析，对于快速响应威胁至关重要。
• 优先级：IT 和安全团队通常难以密切关注安全服务生成的数千条警报。借助 XDR 的数据分析和关联功能，可以跨 MITRE ATT&CK 框架对相关警报进行分组，确定警报的优先级并仅显示最重要的警报。
• 自动化：XDR 使用自动化功能来加快检测和响应速度，并消除了安全流程中的手动步骤，这样 IT 团队能够以可重复的方式处理大量安全数据并执行复杂的流程。
• 运维效率：XDR 可全面呈现整个环境的威胁，而不是分散的安全工具集合。所提供的集中式数据收集和响应功能紧密集成到环境和更广泛的安全生态系统中。
• 更快的检测和响应：所有这些优势共同打造出更强大、更有效的安全环境。由于 XDR 具有更高的效率，因而能够更快地检测和响应威胁，这在当今的安全环境中至关重要。
• 更全面的响应：传统 EDR 通常通过隔离受影响的端点来应对威胁，这在端点是用户设备时比较有效，但在关键服务器受到感染时可能会造成问题。凭借 XDR 更先进的功能和更出色的可见性，可以量身定制面向特定系统的响应，并利用其他控制点来最大限度地降低整体影响。