XDR 定义
扩展检测和响应(通常缩写为 XDR)是一个使用 AI 和自动化的统一安全事件平台。它为组织提供了一种全面、高效的方式来防范和响应高级网络攻击。
企业越来越多地在多云和混合环境中运营,在这种环境中,他们会遇到不断变化的网络威胁形势和复杂的安全挑战。与终结点检测和响应 (EDR) 等目标系统相比,XDR 平台扩大了覆盖范围,可以抵御更复杂类型的网络攻击。它们跨更广泛的域(包括组织的终结点、混合标识、云应用程序和工作负载、电子邮件和数据存储)集成了检测、调查和响应功能。它们还通过高级网络攻击链可见性、AI 支持的自动化与分析,以及广泛的威胁智能来提高整个安全运营 (SecOps) 的效率。
阅读本文,以了解 XDR 安全性的概述,包括 XDR 的工作原理、其主要功能和优势,以及新兴的 XDR 趋势。
关键 XDR 功能
XDR 平台可跨组织的全部数字资产协调网络威胁检测和响应。它们通过在单个平台中无缝整合各种安全工具来帮助快速停止网络攻击,从而打破了传统的安全孤岛,增强了网络威胁防护。以下是五项关键 XDR 功能:
-
基于事件的调查
XDR 会收集低级别警报并将其关联到事件中,从而更快地让安全分析师全面了解每个潜在的网络攻击。分析师不再需要筛选随机信息来发现和了解网络威胁活动,从而提高了工作效率,并且加快了响应速度。
-
自动中断高级网络攻击
XDR 使用高保真安全信号和内置自动化来检测正在进行的网络攻击。然后,它会启动有效的事件响应操作,包括隔离被盗用设备和用户帐户以中断攻击者。使用这些功能,组织可以显著降低风险、限制事件爆炸半径,并减少和简化分析师的事后调查和清理工作。
-
网络攻击链可见性
由于 XDR 从更广泛的来源引入警报,因此分析师可以查看复杂攻击的完整网络攻击链,否则这些攻击可能会绕过点安全解决方案的检测。更高的可见性可缩短调查时间,并提高成功修正完整网络攻击的可能性。
-
自我修复受影响的资产
使用内置自动化功能,XDR 会将勒索软件、网络钓鱼和业务电子邮件市场活动破坏的资产恢复到安全状态。它会执行修复操作,例如终止恶意进程、移除恶意转发规则以及遏制受影响的设备和用户帐户。摆脱重复的手动任务后,安全团队可以专注于解决更复杂、高风险的网络威胁。
-
AI 和机器学习
AI 和 机器学习在 XDR 的应用为面向网络威胁的 AI 提供了可伸缩性和效率。从监视威胁行为和发送警报到调查和修正,XDR 可使用 AI 自动检测、响应和缓解可能的网络攻击。借助机器学习,XDR 可创建可疑行为概览,并标记它们供分析师评审。
-
XDR 的工作原理
XDR 使用 AI 和高级分析监视组织技术环境中的多个域、识别警报并将其关联到事件中,并优先处理风险最高的事件。由于能够在更大的上下文中查看每个网络攻击,安全团队可以更清楚地、更快地了解当前危险并确定如何做出最佳响应。
下面是 XDR 系统的分步工作方式:
收集和规范化数据。
系统自动从多个源引入遥测数据。它会清理、组织和标准化数据,以帮助确保提供一致的高质量数据以供分析。
分析和关联数据。
系统使用机器学习和其他 AI 功能自动分析数据并将警报关联到事件中。它可以分析大量数据点,并实时定位攻击和恶意行为,速度显著快于尝试手动关联事件和修正威胁的安全团队。
促进事件管理。
系统会优先确定新事件的严重性,并提供更多上下文,从而帮助安全人员更快地进行会审,然后确认并响应最重要的网络威胁。根据当前情况,安全人员可以手动响应或允许系统自动响应,例如隔离设备或阻止 IP 地址和邮件服务器域。安全分析师还可查看事件报告和建议的解决方案,并相应地采取行动。
帮助防止将来的事件。
通过分析广泛的威胁情报,一些 XDR 系统提供了与组织特定环境相关的详细网络威胁信息,包括网络攻击技术和解决这些问题的建议操作。安全团队可以使用这些见解主动防范对其运营带来最高风险的网络威胁。
关键 XDR 优势
-
更高的可见性
XDR 扩大了企业的视野,使其更清晰地了解自身安全状况。此外,通过集成来自多个域(包括终结点、标识、电子邮件、云应用程序和工作负载、数据和其他源)的遥测数据,XDR 可发现可能未检测到的威胁。
-
加速了威胁检测和响应
XDR 可实时标识跨域威胁并部署自动响应操作。这些功能可消除或减少网络攻击者有权访问企业数据和系统的时间。
-
简化的 SecOps 工作流
通过自动关联警报,XDR 可简化通知,减少对分析师收件箱的干扰,以及他们用于手动调查威胁的时间。
-
降低了运营复杂性和成本
XDR 通过将多个供应商的工具合并到单个经济高效的 XDR 平台,简化了对整个安全运营的调查和响应。
-
增强的事件优先级
XDR 可评估并突出显示分析师需要立即调查的正在进行的高风险事件。它还可建议执行符合关键行业和法规标准以及企业自定义要求的操作。
-
更快的 SOC 见解
XDR 为安全运营中心 (SOC) 提供始终领先于复杂威胁所需的 AI 和自动化功能。此外,借助基于云的 XDR 平台,SOC 可以随着网络威胁的发展快速透视和缩放其操作。
-
提高了生产力和效率
XDR 提供的功能可自动执行重复性任务并实现资产自我修复,从而减少劳动力,并解放了分析师以从事更高价值的活动。此外,集中式管理工具可提高警报准确度,减少了分析人员调查和修正威胁所必须访问的解决方案数量。
-
如何实现 XDR
成功的 XDR 实现可以提高企业运营的安全性和效率。但从 XDR 平台获取最大价值需要从创建广泛的 XDR 策略到衡量系统性能进行仔细规划。请按照以下步骤操作,以帮助确保成功实现 XDR:
评估安全需求。
首先评估和记录组织的特定安全要求。确定风险最大的区域,并考虑网络大小、数据类型、设备类型和访问位置。还要考虑数据保护以及必须遵守的其他法规和要求。
设置战略目标。
确定 XDR 战略和路线图,以支持所在组织的更大安全战略。根据现有的网络安全成熟度、技能集、体系结构和工具以及预算约束设置现实的目标。
研究并选择 XDR 系统。
寻找具有高级 AI 和自动化功能的,以及提供实时可见性且用户友好界面的 可靠 XDR 平台。查找与现有系统兼容且可快速部署和缩放以适应不断增长的数据量的解决方案。更重要的是,请与提供专家服务和支持的经验丰富的供应商合作。
规划实现。
制定用于部署、配置和管理 XDR 系统的综合计划,包括定义关联的角色和职责。概述如何将系统连接到现有基础结构、工具和工作流。此外,确定日志记录和遥测数据的存储要求,并为自动警报和确定事件优先级创建风险评估机制。
执行分阶段推出。
分阶段实现和测试系统,以最大程度地减少运营中断。首先使用所选终结点测试 XDR 系统,然后再在整个技术环境中部署它。系统启动并运行后,按事件响应剧本运行自动化方案,并根据需要调整规则。
提供培训和支持。
培训安全团队以有效使用和管理 XDR 平台的主要组件和功能。此外,评估并解决团队在解释警报和响应威胁能力方面的任何知识和技能差距。提供持续支持,以帮助团队应对任何实施后挑战。
持续监视和优化性能。
定期及时构建以全面评估 XDR 系统及其基线数据,从而帮助确保准确性。此外,随着系统引入更多历史数据并出现新的网络安全风险,请调整剧本和规则。
XDR 系统的组件
-
终结点检测和响应工具
终结点检测和响应 (EDR) 工具可监视各种终结点,包括移动电话、笔记本电脑和物联网 (IoT) 设备。EDR 可帮助企业检测、分析、调查和响应躲避防病毒软件的可疑活动。
-
AI 和机器学习
XDR 平台可使用最新的 AI 和机器学习功能自动检测异常、确定活动威胁的优先级以及发送警报。它们还提供用于筛选出误报的用户和实体行为分析。
-
安全分析引擎
分析引擎使用 AI 和自动化来筛选大量单个警报,并将它们关联到事件中。该引擎使用网络威胁智能(有关正在进行的和其他威胁攻击的详细上下文知识)扩充了检测。威胁情报既内置于 XDR 平台中,也可从外部全局源中提取。
-
数据收集和存储
借助安全、可缩放的数据基础结构,企业能够收集、存储和处理大量原始数据。解决方案应连接到多个数据源(包括跨云、本地和混合环境的第三方应用程序和工具),并支持不同的数据类型和格式。
-
自动响应剧本
剧本是安全团队可用于自动执行和协调其威胁响应的修正操作集合。剧本可以手动运行以响应特定类型的事件或警报,也可以在自动化规则触发时自动运行。
常见 XDR 用例
网络威胁的相关性和类型各不相同,因此需要不同的检测、调查和解决方法。借助 XDR,企业可以更灵活地跨 IT 环境应对各种网络安全挑战。下面是一些常见的 XDR 用例:
网络威胁搜寻
借助 XDR,组织可以自动执行网络威胁搜寻,即在组织的安全环境中主动搜索未知或未检测到的威胁。网络威胁搜寻工具还有助于安全团队在发生重大损害之前中断挂起的威胁和正在进行的攻击。
安全事件调查
XDR 可跨攻击面自动收集数据,关联异常警报,并执行根本原因分析。中央管理控制台可提供复杂攻击的可视化效果,从而帮助安全团队确定哪些事件是潜在的恶意事件,并需要进一步调查。
威胁情报和分析
借助 XDR,组织能够访问和分析大量有关新兴或现有威胁的原始数据。可靠的威胁情报功能会每天监视和映射全球信号,并分析这些信号以帮助组织主动检测和应对不断变化的内部和外部威胁。
电子邮件网络钓鱼和恶意软件
当员工和客户收到他们怀疑属于网络钓鱼攻击的电子邮件时,他们通常可将电子邮件转发到分配的邮箱,以便安全分析师手动审查。借助 XDR,企业可以自动分析电子邮件、识别包含恶意附件的电子邮件,以及删除整个组织中所有被感染的电子邮件。这可以增强保护并减少重复性任务。同样,XDR 的自动化和 AI 功能可以帮助团队主动检测和遏制恶意软件。
内部威胁
内部威胁论是有意还是无意,都可能导致帐户泄露、数据外泄和公司信誉受损。XDR 使用行为和其他分析来识别可能发出内部威胁信号的可疑联机活动,例如凭据滥用和大数据上传。
终结点设备监视
借助 XDR,安全团队可以自动执行终结点运行状况检查,使用入侵和攻击指示器检测正在进行和挂起的威胁。XDR 还提供跨终结点的可见性,可支持安全团队确定威胁来源、传播方式以及如何隔离和停止威胁。
XDR 与SIEM
XDR 和企业安全信息与事件管理 (SIEM) 系统提供了虽然不同但相互补充的功能。
SIEM 可聚合大量数据并识别安全威胁和异常行为。由于它们可以从几乎任何源引入数据,因此它们提供了高可见性。它们还简化了日志管理、事件和事故管理及合规性报告。SIEM 可以使用安全业务流程、自动化和响应 (SOAR) 系统来响应网络威胁,但需要进行广泛的自定义,并且不提供自动攻击中断功能。
与 SIEM 不同,XDR 系统仅从具有预生成连接器的源引入数据。但它们会自动收集、关联和分析一组更深入、更丰富的安全遥测与活动数据。它们还提供跨域网络威胁可见性和上下文警报,可支持安全团队专注于优先级最高的事件并启动快速和针对性的响应。
通过将 XDR 与 SIEM 相结合,企业可以在其数字资产的每一层中获得全面的检测、分析和自动响应功能,并为引入生成式 AI 功能打下基础。企业还可以更好地了解其网络杀伤链,此框架也称为网络攻击链,概述了常见网络犯罪的各个阶段。
未来 XDR 趋势
随着 XDR 采用的持续增长,供应商将继续增强现有 XDR 功能并引入新功能。下面是一些新出现的 XDR 趋势,有望帮助企业应对不断变化的安全挑战:
平台统一
为了提供对整个网络安全攻击链的可见性,XDR 平台将与 SIEM 解决方案结合使用。这些统一系统对于引入 AI 工具至关重要,这些工具可以提供实时分析和见解,以帮助团队识别漏洞并更快地监视和修正威胁。
Al 和自动化
XDR 平台将实现日益强大的算法,以便更快、更准确地分析不断扩大的数据卷和攻击面。通过机器学习,他们将随着时间的推移持续学习和提高系统性能。XDR 还将自动执行更多威胁检测和响应过程,从而减少人为错误、减少工作负载,并获得更好的响应结果。
云原生 XDR
云原生 XDR 平台将会更加普及,以支持混合和云基础结构。云原生 XDR 系统旨在加强跨通道和环境的安全性,并且可以缩放以收集海量数据。它们还会简化系统部署、更新和维护工作。
物联网和运营技术
与 IoT 和运营技术 (OT) 设备的连接将成为必需的 XDR 组件。由于能够使用 XDR 快速主动地识别已连接设备中的漏洞,企业可以更好地保护其 IoT 和 OT 网络。
威胁情报共享
通过 XDR 系统,可以更轻松地共享来自众多来源的全球威胁情报,从而为企业提供深度数据池,以便能够获取有关网络犯罪分子及其活动的见解。 威胁情报共享还可促进安全团队之间更广泛深入的协作和协调。
主动搜寻威胁
威胁搜寻变得更加主动和有预见性。将来,XDR 系统将会提供随时间推移跟踪攻击者模式,并预测下一次攻击发生时间和地点的功能以及威胁情报。借助这些见解,安全团队可以更快地停止它们。
用户行为分析
用户行为分析 (UBA) 将在关联跨域数据以识别异常的恶意用户活动方面发挥更大的作用。 通过机器学习和行为建模,它会通过查明偏离正常用户行为基线的活动来帮助检测被盗用的帐户和内部威胁。
零信任集成
将来,XDR 平台可以与零信任体系结构集成,这会通过身份验证来保护所有组织资源,而不只是保护对公司网络的访问。使用具有零信任功能的 XDR 平台,企业可以实现更精细、更有效的安全性,包括远程访问、个人设备和第三方应用。
简化的接口、工具和功能
XDR 平台将继续变得更加用户友好和直观。高级可视化效果可帮助安全团队快速了解威胁情况。简化的报告和审核功能有助于遵守法规。
为企业实现 XDR
当今的网络安全环境复杂多层,并且变化迅速。幸运的是,XDR 提供了一种灵活的整体方法来主动检测和响应网络威胁,无论它们潜伏在何处。它还提高了生产力和工作效率。
通过 Microsoft 提供的 XDR 平台和其他安全解决方案开始为你的企业实现 XDR。
详细了解 Microsoft 安全
SIEM 和 XDR
获取跨技术环境集成的威胁防护。
Microsoft Defender XDR
借助统一 XDR 解决方案的扩展可见性和出色 AI 来阻止跨域攻击。
Microsoft Defender for Cloud
保护多云基础结构。
Microsoft Sentinel
在整个组织获得可见性。
发现 Microsoft 安全 Copilot
以计算机的速度防范和响应事件,并使用生成式 AI 进行缩放。
常见问题解答
-
-
-
原生 XDR 系统与企业的现有安全工具组合相集成,而混合 XDR 还使用第三方集成来收集遥测数据。
-
XDR 提供一系列集成,包括企业的现有 SOAR 和 SIEM 系统、终结点、云环境和本地系统。
-
托管检测和响应 (MDR) 是一种由人管理的安全服务提供程序。通常,MDR 使用 XDR 系统来满足企业的安全需求。
关注 Microsoft 安全