什么是EDR?EDR做的比较好的厂商有哪些?

简介: SentinelOne作为EDR市场的领导者和新兴XDR技术的先驱,我们经常被问到这意味着什么以及它最终如何有助于实现更好的客户成果。本文旨在澄清关于XDR以及与EDR、SIEM和SOAR相比的一些常见问题。

前言
网络安全行业充满了专业术语、缩写和首字母缩略词。随着复杂攻击手段的增多,从端点到网络再到云端,许多企业正在转向一种新的方法来应对高级威胁:扩展检测和响应(Extended Detection and Response),这也催生了另一个缩略词:XDR。尽管XDR今年在业界领袖和分析师社群中获得了很多关注,但XDR仍然是一个不断发展的概念,因此,围绕这个主题存在很多混淆。
❄什么是XDR?
❄XDR与EDR有何不同?
❄它与SIEM和SOAR相同吗?

SentinelOne作为EDR市场的领导者和新兴XDR技术的先驱,我们经常被问到这意味着什么以及它最终如何有助于实现更好的客户成果。本文旨在澄清关于XDR以及与EDR、SIEM和SOAR相比的一些常见问题。
image.png
❄什么是EDR?
EDR(端点检测和响应)为组织提供了监控端点以寻找可疑行为的能力,并记录每一个活动和事件。然后,它将信息进行关联,以提供关键的上下文来检测高级威胁,并最终运行自动化响应活动,例如在接近实时的情况下将受感染的端点与网络隔离。
❄什么是XDR?
XDR是EDR(端点检测和响应)的进化版。与EDR仅收集和关联多个端点的活动不同,XDR扩大了检测范围,不仅包括端点,还包括网络、服务器、云工作负载、SIEM等。这提供了一个统一的、单一视窗,跨越多个工具和攻击途径。这种改进的可见性为这些威胁提供了上下文,以协助分类、调查和快速补救工作。
XDR自动地收集和关联多个安全向量的数据,促进更快的威胁检测,以便安全分析师可以在威胁范围扩大之前迅速做出响应。开箱即用的集成和预调整的检测机制跨越多个不同的产品和平台,有助于提高生产力、威胁检测和取证。
image.png
❄XDR与SIEM有何不同?
当我们谈到XDR时,有些人认为我们是用不同的方式描述安全信息和事件管理(SIEM)工具。但XDR和SIEM是两个不同的东西。
SIEM收集、汇总、分析和存储来自整个企业的大量日志数据。SIEM从一开始就采取了非常广泛的方法:收集几乎所有来源的可用日志和事件数据,以用于多种用途,包括治理和合规、基于规则的模式匹配、启发式/行为威胁检测,如UEBA,以及跨遥测源的狩猎。
然而,SIEM工具需要大量的微调和努力来实施。安全团队也可能因SIEM产生的大量警报而感到不堪重负,导致SOC忽视关键警报。此外,尽管SIEM从数十个来源和传感器捕获数据,但它仍然是一个被动的分析工具,发出警报。
XDR平台旨在解决SIEM工具在有效检测和响应针对性攻击方面的挑战,并包括行为分析、威胁情报、行为分析和分析。
❄XDR与SOAR有何不同?
安全编排和自动响应(SOAR)平台被成熟的安全运营团队用于构建和运行多阶段的剧本,这些剧本通过API连接的生态系统的安全解决方案自动执行操作。相比之下,XDR将通过市场(Marketplace)实现生态系统集成,并提供自动化简单操作的机制。
SOAR是复杂、昂贵的,并且需要一个高度成熟的SOC来实施和维护合作伙伴集成和剧本。XDR则意在成为“SOAR-lite”:一个简单、直观、零代码的解决方案,提供从XDR平台到连接的安全工具的可操作性。
image.png
❄什么是MXDR?
管理型扩展检测和响应(MXDR)扩展了MDR服务,覆盖整个企业,提供一个全面管理的解决方案,包括安全分析和运营、高级威胁狩猎、检测以及在端点、网络和云环境中的快速响应。
MXDR服务通过MDR服务增强客户的XDR能力,以提供额外的监控、调查、威胁狩猎和响应能力。
为什么XDR越来越受关注并产生热议?
XDR取代了孤立的安全措施,并帮助组织从统一的角度解决网络安全挑战。通过一个包含整个生态系统信息的原始数据池,XDR比EDR允许更快、更深入、更有效的威胁检测和响应,收集和整合来自更广泛范围的数据源。
XDR提供了更多关于威胁的可见性和上下文;以前可能不会被解决的事件将被提升到更高的认知水平,使安全团队能够补救并减少任何进一步的影响,最大限度地减小攻击的范围。
典型的勒索软件攻击会穿越网络,降落在电子邮件收件箱中,然后攻击端点。通过独立查看每一个这些方面来解决安全问题会让组织处于劣势。XDR整合了不同的安全控制,以提供跨企业安全领域的自动化或一键响应操作,如禁用用户访问、在疑似帐户被泄露的情况下强制多因素身份验证、阻止入站域和文件哈希等——所有这些都是通过用户编写的自定义规则或内置在指导性响应引擎中的逻辑来实现的。
这种全面的可见性带来了几个好处,包括:
通过跨数据源的关联,减少平均检测时间(MTTD)。
通过加速分类和减少调查和范围的时间,减少平均调查时间(MTTI)。
通过启用简单、快速和相关的自动化,减少平均响应时间(MTTR)。
提高整个安全领域的可见性。
此外,多亏了AI和自动化,XDR有助于减轻安全分析师的手动工作负担。XDR解决方案可以主动和迅速地检测复杂的威胁,提高安全或SOC团队的生产力,并为组织带来巨大的ROI提升。
image.png

结束语
对于许多企业来说,选择适合的供应商是一项挑战,尤其是在寻找检测和响应解决方案时。最大的难题通常是理解每个解决方案提供了什么,特别是当各个供应商的术语不同,意义也可能不同。
就像任何进入市场的新技术一样,有很多炒作,购买者需要明智。事实是,并非所有的XDR解决方案都是相同的。SentinelOne Singularity™ XDR统一并扩展了多个安全层面上的检测和响应能力,为安全团队提供了集中的端到端企业可见性、强大的分析能力,以及跨完整技术堆栈的自动化响应。
♚上海甫连信息技术有限公司
DocuSign | Okta | Yubikey | BlackBerry | Cylance | SentinelOne
image.png

目录
相关文章
|
7月前
|
测试技术 API Anolis
一文了解龙蜥社区&芯片厂商研发合作模式
开源社区与各大厂商如何开启高效的合作模式,以满足大量适配需求。
|
存储 边缘计算 人工智能
知名数字化解决方案厂商新华三加入龙蜥社区,已完成硬件兼容性测试
新华三加入龙蜥社区,后续在硬件调优、软件兼容性测试、集成等方面开展合作。
知名数字化解决方案厂商新华三加入龙蜥社区,已完成硬件兼容性测试
|
存储 运维 小程序
云厂商下一块必争之地就是它了!
继容器编排、AI 工程化之后,全球顶级云厂商都瞄准了这块无人区。
云厂商下一块必争之地就是它了!
|
存储 大数据 5G
国产服务器将广泛用于5G移动云建设
  国产服务器将广泛用于5G移动云建设   “新基建”的落地,“计算”是重要引擎。近日,中国移动2020年PC服务器集采项目中标候选人公示,鲲鹏服务器与华为x86服务器全面入围。   本次鲲鹏服务器全面覆盖计算型、均衡型和存储型等服务器类型,将广泛用于中国移动IT云及移动云的建设,为中国移动“5G+”计划落地提供多样性算力支撑。
911 0
国产服务器将广泛用于5G移动云建设
|
Kubernetes Oracle Cloud Native
各大公有云服务商的混合云技术底座
公有云服务商的混合云底座本质都是将公有云技术架构延伸到私有云,在用户自己的数据中心部署一套与公有云同样架构的云。因为技术的一致性,很容易打造混合云的方案。 本文归集了AWS、阿里云、Google、IBM、微软、Oracle五家混合云方案,并进行了简单介绍。
2474 0
|
云计算
虎年要勃发 国内厂商蓄势发力云计算
本文讲的是虎年要勃发 国内厂商蓄势发力云计算【IT168 云计算】云计算的概念风靡中国IT业界已久,或是侠义,或是广义。但究竟如何更好地做好云计算中心的建设,在云计算的大潮中增加中国的声音?前不久更有一些高校的教授表示,云计算在中国只有概念没有应用,中国厂商无法参与融合进去。
1429 0
|
大数据 云计算 CDN
阿里云成国内云业务业内资质最全厂商
本文讲的是阿里云成国内云业务业内资质最全厂商【IT168 云计算】12月12日,工信部正式发放内容分发网络(CDN)业务经营许可证,阿里云、网宿科技成为首批获得CDN牌照企业。自此CDN作为《电信业务分类目录(2015年版)》明确的第一类增值电信业务正式单独进行经营监管,我国CDN产业正式进入经营许可时代。
2324 0
|
数据中心 云计算
直扑云计算 苹果10亿美元投建数据中心
本文讲的是直扑云计算 苹果10亿美元投建数据中心,据国外媒体最近披露的一组数字表明,苹果公司将在美国北卡罗来纳州建立一个规模在10亿美元左右的超级数据中心,而这个数据中心将主要用于苹果公司的网络服务支撑,为其未来的云计算计划打好基础。
1250 0