最后更新于2023年4月5日(星期三)19:51:40 GMT

在我们与弗雷斯特分析师艾莉·梅伦的前几期访谈中 扩展检测和响应(XDR),她不仅帮助我们了解了产品类别及其基础 与安全信息和事件管理(SIEM)的关系,还有自动化的作用 策划检测. 但是山姆·亚当斯, Rapid的检测和响应副总裁, 还有几个关键问题, 第一个问题是:今天的XDR实现到底是什么样子的?

两个xdr的故事

Allie很快指出,XDR在实践中是什么样子的,可以涵盖所有领域, 但也就是说, 大多数XDR实现有两大类 安全操作中心(soc) 现在就倒下.

XDR全明星

Allie说,这些组织“在XDR的旅程中非常先进”."They are design partners for XDR; they're working very closely with the vendors that they're using.“这些组织正在寻求XDR来完全取代他们的SIEM, 或者至少接近那个成熟阶段的人.

为此目的, 这些安全团队还将他们的XDR工具与身份和访问管理集成在一起, 云安全,以及其他产品,以创造一个整体的愿景.

目标用户

XDR采用者的另一个主要群体是那些利用该工具实现更有针对性的结果的人. 他们通常会购买XDR解决方案,并将其与SIEM一起运行——但Allie指出,这种模式存在一些摩擦点.

“最终用户看到SIEM和XDR之间重叠的用例,她说, “但XDR能够提供的结果是与将所有数据放入SIEM并寻找结果的区别所在."

共同点

这种相对分层的XDR实现在很大程度上是由于产品类别处于早期阶段, 艾莉的笔记.

“实现XDR没有一种方法,”她说. “这是供应商支持的不同产品的大杂烩."

随着这一类别的成熟,这一图景可能会变得更加清晰和集中——艾莉已经开始看到一些共同的线索出现了. 她指出,大多数实现都有几个共同点:

  • 在某种程度上,它们通过合并更多的遥测来源取代了端点检测和响应(EDR).
  • 它们正在增强(尽管并不总是完全取代)SIEM解决方案的检测和响应能力.

艾丽预计在接下来的5年里, XDR将继续从SIEM中“吸走”这些用例. 最后倒下的可能是合规, 在这一点上, 在完全取代SIEM之前,XDR需要发展以满足该用例.

Why now?

这就引出了Sam对Allie的最后一个问题:是什么让现在成为转向XDR的最佳时机?

Allie指出了这一趋势的几个关键驱动因素:

  • 市场成熟度: 管理检测和响应(MDR) 提供商有效地进行XDR已经有一段时间了——比该类别定义的时间要长得多. 这鼓励EDR供应商将这些功能直接构建到他们的平台中.
  • 事件响应者的需求: SOC团队通常对EDR和SIEM工具的功能感到满意, 艾莉说,他们只是需要更多的人. 在这种情况下,XDR引入更广泛遥测源的能力很有吸引力.
  • 需要更高的投资回报率: 让我们面对现实吧——siem是昂贵的. 安全团队迫切希望从他们投入大量预算的工具中获得尽可能多的回报.
  • 人才短缺: As the 网络安全技能短缺 更糟的是,社会企业缺乏人才, 安全团队需要工具来帮助他们用更少的资源做更多的事情,用更精简的员工来推动成果.

对于那些希望开始他们的XDR之旅,以响应其中一些趋势, Allie建议确保您的供应商能够提供强大的行为检测, 自动响应建议, 以及自动的根本原因分析, 这样你的分析师就可以更快地进行调查.

“这三点对于构建强大的XDR能力至关重要,她说,,即使这是你的供应商的路线图项目, 这会给你一个很好的基础."

想从我们与艾丽的对话中了解更多XDR? 请查看完整的演讲.

更多阅读: