O que é XDR?
2023 Gartner® Market Guide for Extended Detection and Response |
Read Now
Extended Detection and Response (XDR) is an evolving security category that can unify threat prevention, detection, and response. XDR solutions ingest data from tools in an organization’s security technology stack to create greater context for Security Operations Center (SOC) teams to perform faster threat detection, investigation, and response.
Key capabilities for XDR include detecting security incidents, automating response capabilities, and integrating intelligence and telemetry data from multiple sources with security analytics to correlate and contextualize security alerts. XDR solutions should include a minimum of two native security sensors and integrate seamlessly with your organization’s security ecosystem.
XDR’s primary advantages are:
- Improved, consolidated visibility: Data is ingested from siloed security solutions so that automated analysis can surface findings from large volumes of data that would otherwise depend on slow, manual processes. Solutions typically include a single point of visibility to unify findings in a single console.
- Faster investigations, more productive SecOps teams: Because XDR prioritizes threats and reduces alert volumes with analytics and correlations, teams can focus on the most critical threat events and leverage automation to address known or repeat events.
- Lower total cost of ownership: XDR vendors with a broad set of native capabilities offer cost savings by standardizing on a security stack from a single vendor, which is typically integrated out-of-the-box. Organizations with a large, best-of-breed environment can unlock data across tools and vendors with XDR solutions that offer open integrations.
XDR holds the promise of consolidating multiple products into a cohesive, unified security incident detection and response system.
Por que as corporações precisam de segurança de XDR
Os centros SOC precisam de uma plataforma que reúna de forma inteligente todos os dados de segurança relevantes e revele adversários avançados. À medida que os adversários usam táticas, técnicas e procedimentos (TTPs) mais complexos para contornar e explorar com sucesso os controles de segurança tradicionais, as organizações lutam para proteger um número crescente de ativos digitais vulneráveis dentro e fora do perímetro de rede tradicional.
Security teams have been stretched for years. With increasing work-from-home requirements, the strain on resources has been amplified. Security professionals are being once again required to do more with the same or fewer resources, and with strict budget constraints. As empresas precisam de medidas de segurança unificadas e proativas para defender todo o cenário de ativos de tecnologia, abrangendo terminais legados e cargas de trabalho móveis, de rede e de nuvem sem sobrecarregar a equipe e os recursos internos de gerenciamento.
With bad actors including “lone wolf” attackers, hacking groups, nation states, and even potentially malicious insiders constantly circling, enterprise security and risk managers are left to overcome too many disconnected security tools and data sets from too many vendors. A equipe de segurança luta com um mar de dados que resulta em sobrecarga de alertas, com muitos falsos positivos e pouca integração de dados com ferramentas de análise ou resposta a incidentes, e tudo sob níveis históricos de estresse operacional.
Os líderes de segurança corporativa e gerenciamento de riscos precisam considerar as vantagens de segurança e o valor de produtividade de uma solução de XDR.
Como funciona o XDR?
XDR ingests, correlates, and contextualizes multiple streams of telemetry. XDR can also analyze Tactics, Techniques and Procedures (TTPs) and other threat vectors to make complex security operations capabilities more accessible to security teams that do not have the resources for heavily customized point solutions. XDR removes the daunting detection and investigation cycles and offers threat-centric and business context to move more quickly to a response to the threat.
XDR security provides advanced threat detection and response capabilities including:
- Detecção e resposta a ataques direcionados
- Suporte nativo para análise de comportamento de usuários e ativos de tecnologia
- Inteligência sobre ameaças, incluindo inteligência sobre ameaças local compartilhada juntamente com fontes de inteligência sobre ameaças adquiridas externamente
- Redução da necessidade de perseguir falsos positivos, correlacionando e confirmando alertas automaticamente
- Integração de dados relevantes para uma triagem de incidentes mais rápida e precisa
- Configuração centralizada e capacidade de blindagem com orientação ponderada para ajudar a priorizar atividades
- A centralized interface to perform investigations and respond to events
- Playbooks with automation for analysts to establish best practices
- Multi-vector, multi-vendor analytics
- Automação e orquestração para simplificar muitos processos de centro SOC
Quais são os benefícios do XDR?
Detectar as ameaças avançadas de hoje requer mais do que uma coleção de soluções pontuais.
XDR security provides advanced threat detection and response capabilities including:
- Converter um grande fluxo de alertas em um número muito menor de incidentes que podem ser priorizados para investigação manual
- Fornecer opções integradas de resposta a incidentes que têm o contexto necessário de todos os componentes de segurança para resolver alertas rapidamente
- Fornecer opções de resposta que vão além dos pontos de controle de infraestrutura, incluindo rede, nuvem e terminais, proporcionando proteção abrangente
- Fornecer recursos de automação para tarefas repetitivas para aumentar a produtividade
- Reduzir o treinamento e incremental o suporte de Camada 1, fornecendo uma experiência comum de gerenciamento e fluxo de trabalho em todos os componentes de segurança
- Fornecer conteúdo de detecção utilizável e de alta qualidade que exige pouco ou nenhum ajuste
O XDR melhora as funções críticas do centro SOC quando estão reagindo a um ataque em seu ambiente:
- Detecção
Identifique ameaças mais significativas combinando telemetria de terminais com uma lista crescente de provedores de controles de segurança, bem como eventos de segurança coletados e analisados por plataformas de informações e análises de segurança. - Investigação
A colaboração entre seres humanos e máquinas correlaciona todas as informações relevantes sobre ameaças e aplica o contexto de segurança situacional para separar mais rapidamente o sinal do ruído e ajudar na identificação da causa raiz. - Recomendações
Fornecer aos analistas recomendações prescritivas para aprofundar uma investigação por meio de consultas adicionais, bem como oferecer ações de resposta relevantes que melhorariam de forma mais eficaz a contenção ou a remediação de um risco ou ameaça detectados. - Caça
Forneça um recurso de consulta comum em um repositório de dados contendo telemetria de sensores de vários fornecedores em busca de comportamentos suspeitos de ameaça, permitindo que os caçadores de ameaças localizem e tomem medidas com base em recomendações.
What is the difference between XDR, MDR, and EDR?
EDR (Endpoint Detection and Response) provides detection and response for endpoints. Many organizations start with EDR and progress to XDR.
MDR (Managed Detection and Response) provides detection and response as a managed service.
XDR (Extended Detection and Response) provides detection and response across multiple security controls and data sources.
Trellix XDR
Trellix Helix Connect simplifies visibility and streamlines analysis by ingesting data from Trellix native security controls across endpoint, network, data, and cloud security. The XDR solution ingests data from more than 1 billion sensors for multi-vector detection. You can also leverage non-Trellix security controls using open integrations to collect data from over 1,000 third-party sources so your team can unlock and get more from the data you already own.
Detections are surfaced using correlation across vendors and multiple threat vectors to create context. Known and routine threats are eliminated with out-of-the-box automated responses. Actionable threat Intelligence for less common or new threats is created using insights from our Advanced Research Center and network of over 1 billion global sensors. Emerging, high-impact threats are detected and prioritized using AI-driven analytics that help teams stay ahead of the evolving threat landscape.
Request a demo or take a tour to experience Trellix XDR for yourself.
XDR resources
Learn more about XDR with these analyst reports, webinars, solution briefs, and other resources: