XDR 定義
延伸偵測及回應 (通常縮寫為 XDR) 是使用 AI 和自動化的整合式安全性事件平台。可為組織提供全面、有效率的方式來防範及回應進階網路攻擊。
企業逐漸在多雲端和混合式環境中運作,且遇到不斷演變的網路威脅和複雜的安全性挑戰。與端點偵測及回應 (EDR) 等目標系統相反,XDR 平台擴大涵蓋範圍,以防範更複雜的網路攻擊類型。其整合各種網域的偵測、調查及回應功能,包括組織的端點、混合式身分識別、雲端應用程式和工作負載、電子郵件和資料存放區。並使用進階網路攻擊鏈可見度、AI 支援的自動化和分析,以及廣泛的威脅情報,在安全性作業 (SecOps) 提升效率。
閱讀本文以了解 XDR 安全性的概觀,包括 XDR 如何運作、其主要功能和優點,以及新興 XDR 趨勢。
主要 XDR 功能
XDR 平台可協調整個組織數位資產的網路威脅偵測和回應。其可順暢地將各種安全性工具合併到單一平台,並打破傳統的安全性孤立,以增強 網路威脅防護。以下是五種主要的 XDR 功能:
-
事件型調查
XDR 會收集低等級警示,並將警示與事件相互關聯,更快速地讓安全性分析師全面了解每個潛在網路攻擊。分析師不再需要篩選毫無頭緒的資訊來發現及理解網路威脅活動,進而提高生產力及加快回應速度。
-
進階網路攻擊自動中斷
XDR 使用高逼真度安全性訊號和內建自動化偵測進行中的網路攻擊。然後,便會起始有效的事件回應動作 (包括隔離遭入侵的裝置和使用者帳戶) 以中斷攻擊者。組織可以使用這些功能大幅降低風險、限制事件爆炸程度,並為分析師減少及簡化事件後調查與清理工作。
-
網路攻擊鏈可見度
由於 XDR 會從更廣泛的來源內嵌警示,因此分析師可以檢視點式安全性解決方案可能未偵測到的複雜攻擊的完整網路攻擊鏈。更高的可見度可減少調查時間,並增加成功補救完整網路攻擊的可能性。
-
自動修復受影響的資產
XDR 使用內建的自動化功能將受到勒索軟體、網路釣魚和商務電子郵件行銷活動入侵的資產回復到安全狀態。系統會執行修復動作,例如終止惡意程序、移除惡意轉寄規則,以及遏制受影響的裝置和使用者帳戶。安全性小組可以專注於處理更複雜的高風險網路威脅,而省去重複的手動工作。
-
AI 和機器學習
XDR 的 AI 應用程式和機器學習為適用於網路安全性的 AI提供可擴展性並提升效率。從監視威脅行為和傳送警示,到調查和補救,XDR 都會使用 AI 來自動偵測、回應及減緩可能的網路攻擊。有了機器學習,XDR 就能為可疑行為建立檔案,並將其加上標記以便分析師檢閱。
-
XDR 的運作方式
XDR 使用 AI 和進階分析來監視組織技術環境中的許多網域、識別警示,並將警示與事件相互關聯,以及優先處理呈現最高風險的事件。透過在更寬廣的內容中檢視每個網路攻擊,安全性小組可以更清晰、更快速地了解當前的危險,並判斷最佳回應方式。
以下是 XDR 系統的逐步運作方式:
收集並標準化資料。
系統會自動從多個來源收集遙測資料。系統會清除、組織及標準化資料,以確保提供適合分析的一致且高品質資料。
分析資料並相互關聯。
系統會使用機器學習和其他 AI 功能來自動分析資料,並將警示與事件相互關聯。系統可以分析大量資料點並即時找出網路攻擊與惡意行為的來源,相較於嘗試手動相互關聯警示及補救威脅的安全性小組,速度大幅提升。
輔助事件管理。
系統會排定新事件嚴重性的優先順序,並提供更多內容,協助安全性人員更快速地分級,然後了解及回應最重要的網路威脅。根據目前的狀況,人員可以手動回應或讓系統自動回應,例如隔離裝置或封鎖 IP 位址和郵件伺服器網域。安全性分析師也可以檢閱事件報告和建議解決方案,並據此採取動作。
協助防止未來的事件。
透過廣泛威脅情報的分析,某些 XDR 系統會提供與組織特定環境相關的詳細網路威脅資訊,包括網路攻擊技術和解決問題的建議動作。安全性小組可以使用這些深入解析,主動防範對營運帶來最大風險的網路威脅。
主要 XDR 優點
-
增加可見度
XDR 可拓展企業的視野,提供更清晰的安全性態勢資訊。此外,XDR 透過整合來自多個網域 (包括端點、身分識別、電子郵件、雲端應用程式和工作負載、資料及其他來源) 的遙測資料來發現可能未偵測的威脅。
-
加速威脅偵測和回應
XDR 會即時識別跨網域威脅,並部署自動回應動作。這些功能可消除或減少網路攻擊者可存取企業資料和系統的時間。
-
簡化的 SecOps 工作流程
XDR 透過自動關聯警示來簡化通知、減少分析師收件匣中的雜音和手動調查威脅所花的時間。
-
降低操作複雜度和成本
XDR 將多個廠商的工具合併為符合成本效益的單一 XDR 平台,可簡化跨安全性作業的調查和回應。
-
增強的事件優先順序
XDR 會評估並強調分析人員需要立即調查的高風險、進行中事件。它也會建議符合重要產業和法規標準以及企業自訂需求的動作。
-
更快速的 SOC 深入解析
XDR 提供具有 AI 和自動化功能的安全性作業中心 (SOC),以在複雜的威脅之前保持領先。此外,使用雲端式 XDR 平台,SOC 可以隨著網路威脅演進,快速樞紐分析及調整其作業。
-
提高生產力與效率
XDR 提供的功能可自動化重複的工作,並啟用資產自我修復、減少人力,並讓分析師進行較高價值的活動。此外,集中式管理工具增加了警示的正確性,並簡化了分析師在調查及補救威脅時必須存取的解決方案數量。
-
如何實作 XDR
成功的 XDR 實作可以提升企業營運的安全性與效率。不過,從 XDR 平台獲得最大價值需要仔細規劃,從建立廣泛的 XDR 策略到測量系統績效。請遵循下列步驟,協助確保成功的 XDR 實作:
評估安全性需求。
首先,請評估並記錄貴組織的特定安全性需求。識別最大風險的區域,並考慮網路大小、資料類型、裝置類型和存取位置。也請考慮資料保護,以及您必須遵守的其他法規和要求。
設定策略目標。
建立支援貴組織較大安全性策略的 XDR 策略和藍圖。根據現有的網路安全性成熟度和技能組合、架構和工具,以及預算限制,設定實際的目標。
研究並選取 XDR 系統。
尋找具有進階 AI 和自動化功能的健全 XDR 平台,以及提供即時可見度且易於使用的介面。尋找與現有系統相容且可快速部署及調整的解決方案,以配合成長的資料量。特別重要的是,與提供專家服務和支援且經驗豐富的廠商合作。
計劃實作。
開發部署、設定及管理 XDR 系統 (包括定義關聯角色與責任) 的全方位計劃。概述如何將系統連線到現有的基礎結構、工具和工作流程。此外,建立記錄和遙測資料的儲存要求,並建立自動化警示和事件優先順序的風險評估機制。
執行階段性推出。
階段性地實作及測試系統,以將作業中斷降至最低。先使用選定的端點測試 XDR 系統,然後再部署到整個技術環境中。系統啟動且執行後,請執行事件回應劇本中的自動化案例,並根據需要調整規則。
提供訓練和支援。
訓練您的安全性小組,以有效地使用及管理 XDR 平台的主要元件和功能。此外,評估並解決團隊解譯警示及回應威脅能力的任何知識與技能缺口。提供持續支援,協助小組解決任何實作後的挑戰。
持續監視及調整效能。
定期安排時間來完整評定 XDR 系統及其基準資料,藉此確保正確性。此外,隨著系統接受更多歷史資料以及新的網路安全風險出現,調整劇本和規則。
XDR 系統的元件
-
端點偵測及回應工具
端點偵測及回應 (EDR) 工具監視各種端點,包括行動電話、膝上型電腦和物聯網 (IoT) 裝置。EDR 可協助企業偵測、分析、調查及回應避開防毒軟體的可疑活動。
-
AI 和機器學習
XDR 平台使用最新的 AI 和機器學習功能,能自動偵測異常、排定使用中威脅的優先順序,以及傳送警示。並提供使用者與實體行為分析,以篩選出誤判警示。
-
安全性分析引擎
分析引擎使用 AI 和自動化來篩選個別警示,並將警示與事件相互關聯。該引擎透過網路威脅情報 (關於正在進行的攻擊和其他威脅攻擊的詳細關聯式知識) 豐富偵測。威脅情報內建於 XDR 平台,並且從外部全域提取摘要。
-
資料收集和儲存
安全、可調整的資料基礎結構可讓企業收集、儲存及處理大量未經處理資料。解決方案應連線到多個資料來源,包括跨雲端、內部部署和混合式環境的第三方應用程式和工具,並支援不同的資料類型和格式。
-
自動化的回應劇本
劇本是一組補救動作的集合,安全性小組可以使用這些動作來自動化及協調其威脅回應。劇本可以手動執行,以回應特定類型的事件或警示,或在自動化規則觸發時自動執行。
常見的 XDR 使用案例
網路威脅在相關性和類型上有所不同,需要不同的偵測、調查及解決方法。使用 XDR,企業具有更大的彈性,可解決 IT 環境中廣泛的網路安全性挑戰。以下是一些常見的 XDR 使用案例:
網路威脅搜捕
透過 XDR,組織可以自動化網路威脅搜捕,即在組織的安全環境中主動搜尋未知或未偵測到的威脅。網路威脅搜捕工具也可協助安全性小組在重大傷害發生之前,先中斷擱置的威脅和進行中的攻擊。
安全性事件調查
XDR 會自動收集跨攻擊面的資料、相互關聯異常警示,並執行根本原因分析。中央管理主控台提供複雜攻擊的視覺效果,協助安全性小組判斷哪些事件可能是惡意事件且需要進一步調查。
威脅情報和分析
XDR 能讓組織存取及分析大量新興或現有威脅的未經處理資料。強大的威脅情報功能每天會監視及對應全域訊號,分析這些訊號可協助組織主動偵測及回應不斷變動的內部和外部威脅。
電子郵件網路釣魚和惡意程式碼
當員工和客戶收到懷疑屬於網路釣魚的電子郵件時,他們通常會將電子郵件轉寄給指派的信箱,以供安全性分析師手動審查。使用 XDR,企業可以自動分析電子郵件、識別具有惡意附件的電子郵件,以及刪除組織中所有受感染的電子郵件。這可加強保護並減少重複的工作。同樣地,XDR 的自動化和 AI 功能可協助小組主動偵測及遏制惡意程式碼。
內部威脅
內部威脅 (無論是蓄意或無意) 可能會導致帳戶遭入侵、資料外流,以及損害公司信譽。XDR 使用行為和其他分析來識別可疑的線上活動,例如認證濫用和大型資料上傳,以發出內部威脅的訊號。
端點裝置監視
使用 XDR,安全性小組可以自動執行端點健康狀態檢查,使用入侵和攻擊指示器來偵測進行中和擱置的威脅。XDR 也提供跨端點的可見度,讓安全性小組判斷威脅的來源、其散佈方法,以及如何隔離及阻止威脅。
XDR 與SIEM
XDR 和企業安全性資訊與事件管理 (SIEM) 系統提供不同但互補的功能。
SIEM 會匯總大量資料,並識別安全性威脅和異常行為。由於幾乎可以從任何來源內嵌資料,因此可提供高可見度。也會簡化記錄管理、活動和事件管理,以及合規性報告。SIEM 可以搭配安全性協調流程、自動化和回應 (SOAR) 系統運作,以回應網路威脅,但需要廣泛的自訂,而且不會提供自動攻擊中斷功能。
與 SIEM 不同,XDR 系統只會從具有預先建立連接器的來源內嵌資料。不過,系統會自動收集、關聯及分析一組更深入、更豐富的安全性遙測和活動資料。也會提供跨網域網路威脅可見度與關聯式警示,讓安全性小組專注於最高優先順序的事件,並初始化快速且目標式的回應。
透過將 XDR 與 SIEM 結合,企業可以在其數位資產的每一層中獲得全面的偵測、分析和自動回應功能,並為引入生成式 AI 功能奠定基礎。企業還可以提高其網路攻擊鍵的可見度,此架構概述常見網路犯罪的各個階段。
未來的 XDR 趨勢
隨著 XDR 採用率持續增加,廠商會繼續增強現有的 XDR 功能並引進新的功能。以下是一些新興 XDR 趨勢,可協助企業在不斷變更的安全性挑戰之前保持領先:
平台整合
為了提供整個網路安全性攻擊鏈的可見度,XDR 平台將結合 SIEM 解決方案。這些整合系統對於引進可提供即時分析和深入解析的 AI 工具非常重要,以協助小組更快速地識別弱點並監視及補救威脅。
Al 和自動化
XDR 平台將實作日益強大的演算法,以更快、更精確地分析擴充資料量和攻擊面。透過機器學習,這些平台將會隨著時間持續學習並改善系統效能。XDR 也會自動化更多威脅偵測和回應流程,減少人為錯誤和工作負載,並產生更好的回應結果。
雲端原生 XDR
雲端原生 XDR 平台將更普遍,以支援混合式和雲端基礎結構。雲端原生 XDR 系統旨在強化跨通道和環境的安全性,並且可以縮放以收集大量資料。這些系統也簡化系統部署、更新和維護。
物聯網和運營技術
與 IoT 和運營技術 (OT) 裝置之間的連線將成為必要的 XDR 元件。能使用 XDR 快速且主動識別已連線裝置的弱點能讓企業更快速地保護其 IoT 和 OT 網路。
威脅情報共用
來自多個來源的全球威脅情報將可透過 XDR 系統更輕鬆地共用,提供企業深度資料池,以從中產生網路犯罪及其活動的深入解析。 威脅情報共用也可促進安全性小組之間的進一步共同作業與協調。
主動式搜捕威脅
威脅搜捕變得更具主動性和預測性。未來,XDR 系統將提供功能和威脅情報,以追蹤一段時間的攻擊者模式,並預測接下來攻擊發生的時間與位置。有了這些深入解析,安全性小組可以更快速地阻止威脅。
使用者行為分析
使用者行為分析 (UBA) 在相互關聯跨網域資料以識別異常、惡意使用者活動方面扮演較重要的角色。 透過機器學習和行為模型,該分析會找出偏離一般使用者行為基準的活動,協助偵測遭到入侵的帳戶和內部威脅。
零信任整合
未來,XDR 平台可以與零信任架構整合,透過驗證保護所有組織資源,而不只是保護公司網路的存取權。使用具有零信任功能的 XDR 平台,企業可以達到更精細、有效的安全性,包括遠端存取、個人裝置和第三方應用程式。
簡化的介面、工具和功能
XDR 平台將繼續變得更易於使用且直覺。進階視覺效果可協助安全性小組快速了解威脅情節。簡化的報告和稽核功能可協助法規合規性。
為您的業務實作 XDR
現今的網路安全性環境複雜、多層且快速變化。幸好,XDR 提供彈性且全面的方法來主動偵測及回應網路威脅,無論威脅發生在何處。並且能提高生產力與效率。
開始使用 Microsoft 的 XDR 平台和其他安全性解決方案,為您的業務實作 XDR。
深入了解 Microsoft 安全性
SIEM 與 XDR
取得跨技術環境的整合式威脅防護。
Microsoft Defender 全面偵測回應
透過統一 XDR 解決方案,以更廣的可見度和一流的 AI 技術來中斷跨網域攻擊。
適用於雲端的 Microsoft Defender
保護您的多雲端基礎結構。
Microsoft Sentinel
看見組織的全貌。
探索 Microsoft Copilot for Security
以機器的速度保護及回應事件,並且使用生成式 AI 制定級數。
常見問題集
-
-
考慮使用 XDR 與 EDR 時,請記住它們相似但不同。XDR 是由端點偵測及回應 (EDR) 自然演化而來,而 EDR 主要著重於端點安全性。XDR 擴大 EDR 的範圍,為更廣泛的產品提供整合安全性,包括組織的端點、混合式身分識別、雲端應用程式和工作負載、電子郵件和資料存放區。XDR 為整個企業範圍的現有安全性工具和產品提供彈性和整合。
-
原生 XDR 系統是整合到企業的現有安全性工具組合,而混合式 XDR 還會使用第三方整合以收集遙測資料。
-
XDR 可與許多服務整合,包括企業的現有 SOAR 和 SIEM 系統、端點、雲端環境和內部部署系統。
-
受控偵測及回應 (MDR) 是由人力管理的安全性服務提供者。MDR 經常會使用 XDR 系統來達成企業的安全性需求。
關注 Microsoft 安全性