Extended Detection and Response,缩写是XDR,意思是可拓展
威胁检测与响应。是一个基于
SaaS化模式,将多源安全遥测数据进行聚合,把原先分散的单点安全能力以原生化方式进行有机融合,以此提升威胁检测、调查、响应与狩猎能力的系统。用于检测和处置网络安全风险。
遥测作为新型的网络监控测量技术应用在XDR,对遥测点主动收集与攻击行为相关性的数据,具备更强的时效性及更多的状态信息。XDR将各遥测点采集的遥测数据进行聚合与分析,可以深度了解所保护或监控的对象中是否存在的安全风险与攻击(含隐蔽的),甚至可以回溯已经发生的相关安全事件,让网络安全具备高度可见性。遥测数据采集是安全大数据分析上的巨大进步,安全分析师使用XDR,降低了对技能的要求,减少了重复性的劳动,同时通过节省带宽、数据成本,为规模化和 SaaS 化部署奠定了基础。
威胁狩猎被认为是发现隐藏攻击最有效的方法,可以分为3种:非结构化狩猎、结构化狩猎和AI驱动自动化狩猎。威胁狩猎可以通过XDR解决方案更好地检查已收集的数据,包括深入研究日志文件和访问请求,以及处理与应用程序控制解决方案和网络相关的应用程序事件。
根据 CrowdStrike 在《2021 Threat Hunting Report》中提到,其MDR 团队发现,在 36% 的入侵中,攻击者可以在 30 分钟内横向移动到其它的主机上,说明传统事件响应机制已经难以适应快速发展的攻防对抗技术。XDR中的自动化响应当前在事件响应的分析、遏制阶段取得了实际的进步和效果。XDR采用相关的自动化技术可以大幅度降低事件响应需要的时间和专家资源,保障在更短的时间内阻止攻击者的横向移动和其它进一步的攻击动作。