什么是 XDR？

XDR 是 Extended Detection and Response 的缩写形式，意思是扩展检测与响应，是一种网络安全工具，可用于检测威胁并做出响应。XDR 可从许多现有的安全层收集数据，并针对安全运营系统提供一种高度综合的整体性方法。

XDR 能够将整个 IT 环境中各种来源（例如终端、网络、电子邮件安全、身份、访问管理、云等）的数据关联起来，并基于这一数据集检测相关环境中的网络威胁和做出响应。

XDR 之所以重要，是因为网络犯罪正以每年 15% 的速度增长¹，而攻击造成的后果可能会对企业带来毁灭性的影响。被攻击的组织可能会在数据或基础架构方面遭到破坏，金融资产被盗，生产力下降，知识产权被盗，正常业务运营中断等等。因此，安全工具对于确保业务安全是十分有必要的。

由于新的漏洞层出不穷，加上网络威胁更加隐蔽，要确保基于云的基础架构的安全，就必须加大专用资源的投入。许多企业并没有足够多的经验丰富的安全从业人员，为了弥补这一短缺，他们会利用 XDR 技术对威胁检测和响应任务进行自动化。

下面我们不妨来看看一家公司的基础架构中有哪些部分是易受攻击的：

• 网络：您的网络（也就是公司所用计算设备之间的连接）可能会暴露在攻击之下，这些攻击会伺机获得未经授权的访问，随后窃取、修改或加密通过您的网络传输的数据。
• 终端：连接到您的网络的设备，例如客户或员工的笔记本电脑、手机、平板电脑或台式机，攻击者可能会以这些设备为入口和立足点来访问有价值的数据。
• 云：简化数据共享流程也是最容易受到攻击的一项云功能。威胁通常会针对身份验证系统和公共 API 展开。

了解全球各大顶级组织的 CISO 如何在不断升级的威胁环境中保护组织的安全。

网络检测和响应 (NDR)：网络检测和响应服务仅限于监测网络上的流量，可通过分析网络流量来确立一个“正常”的网络行为基准。越过基准界限的行为会被标记出来，以供下一步做出响应。

终端检测与响应 (EDR)：终端检测与响应 (EDR) 包括对终端基于签名和行为的安全监测，并会提醒从业人员注意特定设备上的异常或可疑行为，从而作出更快的响应。

托管式检测与响应 (MDR)：托管式检测与响应是一种外包服务，可为组织提供基本的安全运营功能。这种服务通常会使用自己开发的 EDR 或 XDR 软件。MDR 服务会向客户公司派遣安全人员，由他们负责对网络安全威胁进行监测、分流和调查。

终端检测与响应仅限于对终端进行监测，因此并不能完全覆盖攻击面。加之 EDR 缺乏更广泛的可见性，所以会让攻击者有可乘之机。

相比之下，扩展检测与响应可全面覆盖所有基础架构。它的监测对象包括终端、电子邮件、服务器、网络和云，因而能够实现全方位检测和响应，让潜伏的威胁无处遁形。

网络检测和响应 (NDR) 与 XDR 之间的主要区别在于覆盖范围。与 EDR 一样，NDR 是一种孤岛式的功能，仅限于监测网络流量，并对网络安全威胁进行评估、标记和响应。

XDR 则是利用了一套更全面的技术来扩展检测和响应范围，旨在让用户对威胁面有更完整的了解。

MDR 是一种外包服务，通过向客户的安全团队派遣专业安全分析师，由他们负责监测、调查、响应和部署这项技术。MDR 服务提供商通常会组合使用多种安全技术（如 SIEM、EDR 和 NDR）来监测和检测威胁。

XDR 则是为安全团队配备强大的功能，让他们有能力分析和应对网络安全威胁。XDR 可以自动响应，也可以提醒从业人员来手动响应。

对于手动执行起来很困难的任务，XDR 都可以实现自动化处理。XDR 可从多个安全产品收集数据，让您全面了解潜在的威胁。XDR 能够将这些不同工具之间的遥测数据关联起来，并执行高级分析，从而检测出异常和可疑的活动。一旦发现有可疑模式，XDR 会自动对事件做出响应，或提醒安全团队进行手动响应。根据您配置的响应操作，应对方式可能包括阻止 IP 地址、隔离用户或屏蔽域。

XDR 可以通过以下多种方式帮助安全团队：

• 集中分析：借助 XDR，安全团队能够收集和分析多种类型的数据，从而发现威胁并予以修复，让威胁无处藏身。
• 消除告警疲劳：XDR 会对告警进行分类并确定优先级，从而提高从业人员的工作效率。
• 提高效率：XDR 可显著减少团队在识别威胁或手动关联数据方面所花费的时间。安全团队因而能够有更多时间专注于开发，而非陷入无尽的调查。

组织可使用扩展检测与响应解决方案来实现以下几个用例：

• 告警分流：XDR 软件可以作为公司的第一道防线，检测威胁和帮助分析师对告警进行分流。作为威胁或事件的第一响应者，有助于提高效率，从而能够将检测结果移交给事件响应人员并进行主动分析。
• 安全调查：调查人员可以利用 XDR 集中收集、分析数据并对事件作出响应的强大功能，更快地做出应对操作。
• 威胁猎捕：XDR 通过扩大对环境的可见性，增强数据的相关性，以及简化跨环境分析的流程，可让威胁猎手有效开展工作。

• 提高可见性：XDR 解决方案能够为整个终端、网络和云环境提供更好的可见性。通过将所有数据源集中在一个视图中进行查看，分析师能够快速识别整个组织中的异常情况和可疑活动，这对于发现潜在威胁非常有帮助。
• 一体化分析：XDR 解决方案可以从各种来源（如日志、终端和网络流量）收集并关联数据，以更全面地展示威胁状况。通过对数据进行上下文分析，分析师可以更好地了解威胁的范围，并确定应对措施的优先级。
• 提高工作效率：XDR 解决方案可以将数据收集、分析和调查等这类常规任务进行自动化，从而让分析师有更多时间专心处理更复杂的任务。这有助于缩短识别和响应威胁所需的时间，从而提高威胁捕获的整体效率。
• 丰富的背景信息：XDR 解决方案可以与威胁情报源集成，为分析师提供有关已知威胁和入侵指标 (IoC) 的其他信息。这有助于识别新型或新出现的威胁并主动开展猎捕。

1. 所选择的 XDR 解决方案，需要能够为您提供一个集中位置来进行数据分析和根本原因识别，并制定有相应的修复计划。总体目标是：打破安全孤岛，实现对整个环境的深度可见性。
2. 寻找可提供灵活框架和架构的 XDR 服务，以便您实施新用例并根据组织需求进行扩展。
3. 所选的 XDR 服务必须是集成的，以便于企业将工作负载进行自动化，从而缩短平均响应时间。

尽管资源有限、系统脱节且传统安全工具存在各种局限性，但借助 Elastic 的无限 XDR 方案，仍能够让从业人员有力保护快速发展的组织，对抗越来越狡猾的攻击者。

Elastic 安全提供了专为混合云环境打造的开放平台，可以通过代理阻止勒索软件和类似的高级威胁，为 SOC 赋予降低风险的能力。通过利用来自整个攻击面的多年数据进行高级分析，这个解决方案不仅能够消除数据孤岛，实现预防和检测自动化，还可简化调查和响应的流程。

安全是企业发展的关键。Elastic 提供了可扩展、快速响应的 XDR 技术，让您的团队能够专心处理最重要的事情。

• 全球各大顶级组织的 CISO 如何在不断升级的威胁环境中保护组织的安全
• [网络研讨会] 借助无限 XDR 方案，让您的 SOC 拥有阻止威胁的能力
• 如何使用 Elastic XDR 和 Corelight 构建托管式检测与响应服务
• 2022 年 Elastic 全球威胁报告