扩展检测和响应(XDR)是工具和数据的整合，除了应用程序和端点外，还提供跨网络和云的扩展可见性、分析和响应。XDR是端点检测和响应(EDR)安全性的更复杂和先进的进展。在EDR包含并消除端点和工作负载上的威胁时，XDR将这些功能扩展到端点之外的多个安全控制点（包括电子邮件、网络、服务器和云），以使用跨域收集的数据更快地检测威胁。

安全中的XDR如何工作？

XDR从根本上说是工具和数据的整合，它代表着企业安全能力向前迈出的重要一步。由于XDR可以访问在整个环境中收集的原始数据，因此它可以检测到使用合法软件访问系统的不良行为者（安全信息和事件管理软件或SIEM通常无法做到这一点）。它执行活动数据的自动分析和关联，使安全团队能够更有效地遏制威胁。例如，它可以扩展到包括网络检测、横向移动、异常连接、信标、渗漏和恶意工件的传递。

与EDR一样，XDR对威胁做出响应以遏制和消除它——但XDR卓越的数据收集和与环境的集成使其能够更有效地响应受影响的资产。真正的XDR平台提供了安全分析师以有针对性和有效的方式响应威胁所需的整体可见性和上下文。这种量身定制的响应不仅有助于遏制威胁本身，还有助于遏制响应对系统的影响——例如，减少关键服务器的停机时间。

XDR包含三个部分：遥测和数据分析、检测和响应。

遥测和数据分析：XDR跨多个安全层监控和收集数据，不仅包括端点，还包括网络、服务器和云。然后，它使用数据分析来关联来自这些层的数千个警报的上下文，以便显示数量少得多的高优先级警报，从而帮助避免压倒安全团队。

检测：正如我们所见，XDR卓越的可见性使其能够筛选警报并报告需要响应的警报。同样的可见性允许它在环境中创建正常行为的基线，以检测利用软件、端口和协议的威胁，并调查威胁的来源，以阻止它影响系统的其他部分。

响应：与EDR一样，XDR能够包含和删除它检测到的威胁，以及更新安全策略以防止再次发生类似的违规行为。与仅在端点和工作负载上执行此功能的EDR不同，XDR超越了端点保护，可以响应它所涉及的所有安全控制点的威胁，从容器安全到网络和服务器。

XDR有什么好处？

XDR超越EDR的附加功能为保护组织的IT环境提供了几个切实的好处。这些好处包括：

XDR的用例是什么？

有哪些需要避免的XDR错误？

XDR是一种强大的安全策略，但要实现其全部优势，选择能够充分利用其功能的解决方案非常重要。在选择平台时，请注意以下问题：

什么是网络安全中的检测和响应？

检测和响应技术采用实时、连续的系统监控来检测和调查潜在威胁。然后，检测和响应系统使用自动化来遏制和消除这些威胁。

今天有许多不同类型的检测和响应解决方案，包括：

什么是网络安全中的EDR？

EDR是第一个从行为分析和调查的角度来处理安全问题的技术，它使安全团队能够快速检测可疑行为，即使它与以前的已知攻击不同。EDR不依赖基于定义的检测方法，而是使用机器学习和行为分析来检测零日威胁，以免它们损坏网络——这是向前迈出的重要一步。EDR收集的数据量及其复杂性通常会阻碍组织对其进行分析的尝试，并且其对端点保护的唯一关注可能会使团队对跨系统的活动视而不见。

XDR和EDR有什么区别？

XDR将EDR的功能扩展到环境中的所有安全层——负载、设备、用户和网络。XDR不是EDR提供的单一观点，而是支持跨多个安全层的遥测和行为分析，使安全团队能够看到全局。

不良行为者不会将他们的攻击限制在单个安全层，安全团队也不能将他们的观点限制在一个层。EDR使安全专业人员能够看到可能受到威胁的端点，但是当安全团队意识到攻击已经通过网络传播到其他系统时，这还不够。这就是XDR的用武之地。通过提供整个系统的活动的整体视图以避免可见性差距，XDR允许安全团队了解威胁的来源以及它如何在整个环境中传播-以消除它。换言之，XDR提供了更强大的分析和关联能力以及整体观点。