XDR与SOC的关系

结论

XDR是SOC的扩展，是现代SOC的重要组成部分。

背景

现代SOC的核心组成部分：威胁检测、响应。

现在，组织相信整合各类告警的价值；但组织缺乏专业知识和工具，导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。
本文将说明：

• 检验安全团队的人员、流程和技术的有效性。
• 买家对XDR的看法。
• 买家对XDR的偏好和顾虑。
• XDR的关键价值。

1.组织认为XDR能提高安全效率

1. 组织需要威胁检测

调查显示，SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是：改进高级威胁检测（34%）、自动化任务（33%）威胁平均响应时间（MTTR）（29%）。

2. XDR的首要任务是检测复杂攻击

组织认为XDR是检测、识别、理解整个杀伤链中的复杂攻击的有效方案。XDR 解决方案可以跨端点、网络、服务器和云阻止攻击非常重要。

3. 不同组织对XDR的期望差异很大

组织认为XDR能帮助解析问题，但数据显示，安全专家们不很清楚XDR到底是什么。

2.XDR的数据集成是一项重大挑战

1. 大多数组织都面临数据集成问题。

组织在安全数据管理方面遇到许多问题，如过滤掉无效的警报（38%）、扩展处理平台（37%）、收集处理威胁情报（36%）、为处理构建有效的数据管道（34%）

2. XDR 必须解决数据通道问题

为了克服数据管理问题和潜在的数据瓶颈、适应安全数据的数量、速度和多样性，XDR需要提供一个现代化的数据通道。组织认为XDR要优先解决的问题：改进数据管道(40%)、跨设备关联(39%)、集成更多数据(32%)。

3.XDR必须在短期内扩展 SIEM 能力

1. 58% 的受访者认为 SIEM是最有效的威胁检测和响应工具
2. SIEM是当今的核心SOC平台

最具有价值的SIEM功能：告警检测、安全操作、集成、可视化等

3. SIEM面临很多问题

组织承认SIEM 成本高、维护复杂。34% 的人表示 SIEM 成本高， 32% 的人认为维护和运营 SIEM 成本高。30% 认为高级分析师可以发挥 SIEM 价值，初级分析师学习 SIEM 很困难。CISO们认为XDR能提高安全效率、降低操作成本、解决复杂性。

4. XDR可以在SOC现代化中发挥核心作用

超过一半的人认为 XDR 能改善当前安全分析师的能力。XDR 可以改进威胁检测和响应，使SOC实现流程的现代化、集成和自动化。

4.XDR必须包括MDR 服务

1. MDR正成为现代安全平台的重要组成部分

托管检测和响应服务 (MDR) 正在成为大多数现代安全平台的重要组成部分。
超过一半的组织认为 MDR 提供商的威胁检测做得更好。
73%的组织已经使用MDR提供商，43%的组织将MDR添加到现有MSSP合同中，42%的人开始购买MDR，38%的人将MDR视为技能提升的手段，35%的人需要MDR服务来提升员工技能。
数据似乎表明，单靠XDR技术是不够的、安全专业人员需要实际帮助。

2. 一半组织对托管XDR感兴趣

数据显示，XDR 仅靠技术是不够的，需要与人结合起来产生价值。
组织对MDR感兴趣，鉴于这类广泛的服务要求，XDR 提供商必须与企业级MSSP合作或提供全套服务。

5.云检测响应较薄弱，是 XDR的好起点

1. XDR可以从云安全可视或SIEM补充开始

43% 的受访者表示他们的组织将重点关注云、SaaS程序。这表明组织在云安全方面存在盲点。
三分之一的人表示，他们将通过补充或替代SIEM来启动XDR项目。
SIEM是一项基础SOC技术，大多数组织可能会将XDR添加到SIEM中，帮助初级分析师对事件进行分类、使用先进的威胁检测分析补充SIEM关联规则。

2. 48%的组织在实施XDR后，会替换单点安全产品

6.XDR对大多数组织有吸引力

1. XDR采用将快速发展

超过 80%的组织预计在未来 6-12 个月内进行 XDR 投资。XDR 资金可以来自 SOC 技术预算、EDR 预算、 甚至 SIEM 预算。
超过三分之一的人愿意投入新的 XDR 资金， XDR 解决方案提供商应该会在 2021 年蓬勃发展。