什麼是延伸偵測及回應 (XDR)?

了解延伸偵測及回應 (XDR) 解決方案如何提供威脅防護,並減少所有工作負載的回應時間。

延伸偵測及回應 (XDR) 的定義

延伸偵測及回應 (通常縮寫為 XDR) 是一種 SaaS 工具,可將安全性產品和資料整合成簡化的解決方案,藉此提供全面且最佳化的安全性。企業面對的威脅情勢日新月異,而多雲端、混合式環境中的人力也讓企業面臨了複雜的安全性挑戰。XDR 安全性能因應這些情況,帶來更有效、更主動的解決方案。相較於端點偵測及回應 (EDR) 這類的系統,XDR 拓展了安全性的範圍,為更廣泛的產品 (包括組織端點、伺服器、雲端應用程式和電子郵件等等) 整合保護措施。在這之後,XDR 會結合防護措施、調查和回應,提供可見度、分析、互相關聯的事件警示和自動化回應,以改善資料安全性並打擊威脅。

XDR 的重要功能

XDR 系統提供無數功能,可擴展企業的安全性、威脅防護措施和補救功能。

 

互相關聯的事件
XDR 會收集和關聯警示,為安全性事件或攻擊建立更完整的面貌,讓分析師可以將更多時間投入更重要的研究中。

 

分析
XDR 會大範圍檢查多個來源 (身分識別、端點、電子郵件、資料、網路、儲存空間、物聯網和應用程式) 的資料,而強大的分析能力對於理解威脅活動至關重要。XDR 的分析功能相當卓越,可以提供威脅時間表的可見度,讓分析師更輕鬆地找到可能尚未偵測到的威脅。
 

自動化偵測和回應
XDR 會對已知的威脅即時進行自動識別、評估和補救,降低並簡化組織的工作負載,並捕捉難以偵測的威脅。


AI 和機器學習
XDR 使用 AI 和機器學習來建立可擴縮性並提升效率。從行為偵測和警示,到調查和補救,XDR 都會使用 AI 來監控威脅行為,並自動回應和減緩可能的攻擊。有了機器學習,XDR 就能為可疑行為建立檔案,並將其加上標記以便分析師檢閱。


自動修復受影響的資產
XDR 會啟用修復動作 (例如終止惡意程序、移除惡意轉寄規則,以及在組織通訊錄中識別遭到盜用的使用者),將受影響的資產恢復到安全狀態。

XDR 如何運作?

XDR 使用自動化程序,從統一的觀點提供更廣泛的可見度,以便人員了解威脅脈絡。


資料收集和整合
XDR 會監控企業技術環境中的資料,從端點裝置和防火牆,到雲端應用程式和部分第三方應用程式。XDR 會在整個環境中識別事件和威脅,並將相關的情況關聯在一起,藉此最佳化安全性警示的數量,讓安全性小組對網路攻擊有更透徹的了解。


統一分析
XDR 會自動分析有關聯的事件,藉此更快速且更有效率地進行回應和補救。XDR 的 AI 和機器學習功能可以分析大量資料點並即時找出攻擊與惡意行為的來源,相較於嘗試手動關聯事件和補救威脅的安全性小組,速度大幅提升。


事件管理
XDR 可讓企業自動或手動回應威脅事件。根據預設情況,XDR 有許多可以補救威脅的動作,例如封鎖 IP 位址或郵件伺服器網域,或是隔離裝置。安全性分析師也可以檢閱事件報告和建議解決方案,並據此採取動作。


最常見的 XDR 使用案例
• 偵測端點裝置的弱點
• 跨網域搜捕威脅
• 調查安全性事件
• 執行端點健康情況檢查
• 預測未來攻擊
• 排定警示順序並關聯警示

XDR 的主要優點

XDR 提供許多安全性優點,可為企業帶來全面、彈性且有效的威脅防護。

  • 增加可見度

    XDR 可拓展企業的視野,提供更全面的安全性態勢資訊。XDR 整合了多個端點的遙測資料、網路、電子郵件、應用程式等項目,藉此釐清警示和事件之間的關係,建立更廣大的威脅可見度,並騰出更多分析時間和資源。

  • 警示管理

    XDR 降低了分析師手動調查威脅時需要花費的時間。互相關聯的警示可簡化通知並降低分析收件匣中的干擾。XDR 系統可整理相關的警示,藉此增加效率並提供更完整的事件面貌。

  • 事件優先順序

    XDR 會評估事件並提供加權後的評定結果,再根據重大產業標準、法規標準或企業的自訂要求,來排定補救措施和建議行動的優先順序。

  • 自動化工作

    XDR 提供相關工具,可將重複的工作自動化並減少分析人力。

  • 提高效率

    XDR 的集中式管理工具增加了警示的正確性,並簡化了分析師在評定威脅時必須存取的解決方案數量。

  • 即時威脅偵測

    XDR 可即時識別威脅並部署自動補救,藉此消除攻擊者的存取權,或者削減對方可用來存取組織資料和系統的時間。

  • 多個安全性工具之間的整合式回應

    XDR 可為企業的所有安全性產品補救威脅,並提供集中化的分析、回應和補救。

如何實作 XDR

判斷資料儲存空間需求
為了清楚了解 XDR 的儲存空間要求,想要部署 XDR 系統的企業應先判斷他們的記錄和遙測資料需求,再進行實作。


規劃階段性推出
先將 XDR 系統整合到幾個選定的服務,再擴展到整個技術環境。


評估基準資料
安排時間來完整評定 XDR 系統及其基準資料,藉此確保正確性。

XDR 系統的元件

前端
典型的 XDR 系統至少包括三個著重於威脅識別和回應的前端解決方案。這些解決方案可能包括端點偵測及回應 (EDR)、網路偵測及回應 (NDR)、安全性服務邊緣 (SSE)、電子郵件安全性和行動威脅偵測等等。


後端
在後端,XDR 系統會提供 API 整合功能、資料湖儲存空間、強大的分析、自動化回應和互相關聯的警示。

如何將 XDR 與 SIEM 搭配使用?

XDR 讓現有的企業安全性資訊與事件管理 (SIEM) 系統變得更完善。SIEM 主要是偵測工具,可彙總大量淺層資料並識別安全性威脅與異常行為,但無法回應或補救威脅,而且通常需要手動回應。XDR 則提供這類回應功能,可利用 SIEM 工具提供的大量資料,兩者互相搭配,共同構成組織的安全性組合。

XDR 在企業中的角色

在日漸複雜的威脅情勢中,富有彈性且有效率的 XDR 系統是強制執行安全性和補救的好工具。對於想要最佳化安全性分析時間和工作負載的企業而言,XDR 系統擁有最高的效率,並能降低惡意使用者可能停留在企業網路上的時間。XDR 能順利地整合到企業的現有生態系統,盡量降低上線時間並盡可能提升效率。

深入了解 Microsoft 安全性

常見問題集

|

XDR 平台是 SaaS 型的安全性工具,可利用企業的現有安全性工具,並將其整合到集中化的安全性系統中。XDR 會從多個工具 (例如雲端應用程式、電子郵件安全性、身分識別和存取管理) 中提取原始遙測資料。接著,XDR 會使用 AI 和機器學習,即時執行自動化分析、調查和回應。XDR 也會將安全性警示互相關聯成較大的事件,為安全性小組提升攻擊事件的可見度,並安排事件的優先順序,協助分析師了解威脅的風險層級。

XDR 是由端點偵測及回應 (EDR) 自然演化而來,而 EDR 主要著重於端點安全性。XDR 則拓展了 EDR 的範圍,為更廣泛的產品提供整合式安全性,從網路和伺服器,到雲端式應用程式和端點。XDR 為整個企業的現有安全性工具和產品提供彈性和整合。

原生 XDR 系統是整合到企業的現有安全性工具組合,而混合式 XDR 還會使用第三方整合以收集遙測資料。

XDR 可與許多服務整合,包括企業的現有 SOAR 和 SIEM 系統、端點、雲端環境和內部部署系統。

受控偵測及回應 (MDR) 是由人力管理的安全性服務提供者。MDR 經常會使用 XDR 系統來達成企業的安全性需求。