保护 IT 基础设施的多层安全技术-扩展检测与响应 (XDR)

随着网络威胁的形势不断演变，XDR 的部署将大大缩短网络安全技术团队的调查和响应时间。但与任何新兴安全技术一样，人们对于 XDR 是什么、它与传统安全解决方案有何区别以及它如何为用户提升安全防御能力，降低安全风险还不是十分有感觉。

XDR 的含义和定义

扩展检测与响应 (XDR) 是一种保护 IT 基础设施的多层安全技术。它通过从多个安全层面（包括端点、应用程序、电子邮件、云端和网络）收集数据并将数据相互关联，帮助您加深对组织技术环境的了解，从而达到保护 IT 基础设施的目的。借助这个多层联动的解决方案，网络安全技术团队能够快速有效地检测、调查和应对网络威胁。
XDR 被视为端点检测与响应 (EDR) 的高级版本。两者的区别在于 EDR 侧重于端点，XDR 则更全面地保护多个安全控制点，借助深度分析和自动化来更快地检测出威胁。

XDR 和 EDR 有什么区别？

端点检测与响应 (EDR) 侧重于持续监控和威胁检测以及自动响应。然而，它的局限性在于仅在端点层面上执行这些功能。相比而言，XDR 与 EDR 的侧重点是相同的，但 XDR 将其扩展到端点之外，涵盖云工作负载、应用程序、用户身份以及整个网络本身。

XDR 是如何运作的？

XDR 针对端点、网络和云端提供统一的可见性与控制措施，从而提高检测与响应能力，让安全效率得到进一步提升。
通过将来自独立安全解决方案的数据关联到一起，XDR 提升了威胁可见性，并减少了识别攻击和做出响应所需的时间。XDR 有助于通过单一控制台，针对多个域提供高级调查和威胁搜寻功能。
大体上，XDR 安全解决方案的运作方式分为三个方面：

1，数据收集

第一步是从端点、云工作负载、电子邮件、网络流量、虚拟容器等收集大量数据并对数据进行标准化处理。所有数据都进行匿名处理，仅包含用于识别潜在异常和威胁所需的元素。

2，检测

然后，重点是数据的分析和关联，使用高级人工智能 (AI) 和机器学习 (ML) 来自动检测隐蔽的威胁。

3，响应

接下来，按严重程度对威胁数据进行优先级排序，以便安全团队能够及时对新事件进行分析和分类，并自动完成调查和响应活动。响应过程应通过单一中心进行，包括相关数据、背景信息和工具。

XDR 技术将显示在最终攻击发起之前的过程顺序，有助于分析人员了解攻击者所采取的步骤。来自资产库中的信息让您能够更清楚地了解整个攻击链，例如与以下各项有关的漏洞：资产、资产所有者、业务角色和可从威胁情报中检测出的信誉。

由于安全团队通常每天都会收到大量警报，因此将分类流程自动化并为分析人员提供背景信息是管理这个过程的最好方式。XDR 让安全团队能够高效地利用时间，专注于可能造成最大损害的警报上。

XDR 有哪些优势？

扩展检测与响应将多个安全工具整合到一个协调统一的安全事件检测与响应平台中，为用户创造更大价值。XDR 的主要优势包括：

1. 将大量警报合并成数量更少的事件，可对事件进行优先级排序，以进行手动调查
2. 提供综合事件响应方案，让您能够借助充分的背景信息，快速对警报做出响应
3. 提供超越基础设施控制点（包括网络、云端和端点）的响应方案，实现全面保护 自动完成重复任务以提高生产力
4. 针对各个安全组件提供统一的管理和工作流体验，达到提高效率的目的

从本质上看，主要优势在于：提高保护、检测和响应能力，提升运营安全人员的生产力，同时降低有效的安全威胁检测与响应所涉及的总体拥有成本。

如果您认为以上对您有帮助，希望可以点击大拇指点赞，点击关注后续更新。您的支持，才是我们创作的动力。
您还可以浏览如下博客获取降低网络安全威胁的措施：
小型企业如何简单有效防范网络攻击威胁
服务器漏洞修复-检查和关闭勒索病毒传播的SMBv1协议
安全知识普及：如何让您的计算机上网安全，无忧冲浪
OT网络安全-OT客户端安全防护要采取那些措施
安全知识普及：远程办公，员工必须遵守的5大守则
钓鱼攻击：相似域名识别及如何有效预防攻击
Microsoft Message Queuing Denial-of-Service Vulnerability