清静团队依然面临快速检测和响应清静威胁等基础性的挑战。。。。。XDR被视为资助在攻击链中检测、识别和相识重大威胁的潜在手段。。。。。

近期，，，，，，，，全球着名信息手艺剖析和咨询机构ESG的报告显示：企业和组织正在起劲提升终端检测与响应平台（Endpoint Detection and Response, EDR）、网络检测与响应平台（Network Detection and Response, NDR）以及其他清静剖析计划的能力，，，，，，，，以支持越发周全的威胁检测和响应。。。。。扩展检测与响应平台（eXtended Detection and Response, XDR）恰逢其时。。。。。但安排XDR从何入手？？？？？？？需要同时设置哪些清静能力？？？？？？？

01  威胁检测和响应的重点 

ESG报告显示，，，，，，，，提升高级威胁检测能力成为威胁检测和响应的主要使命。。。。。

34%的受访者以为威胁检测和响应需要重点提升高级威胁检测能力，，，，，，，，33%的受访者以为应当重点提升自动化修复能力，，，，，，，，29%的受访者以为应当降低威胁的平均响应时间。。。。。

归纳综合来说，，，，，，，，清静运营中心（SOC）团队需要提升威胁检测和响应的效率，，，，，，，，尤其是在面临随着时间推移能够在网络中横向移动的未知威胁时。。。。。

 图1：威胁检测和响应的重点领域 

02  威胁检测和响应的挑战

 2.1清静运营工具购置、维护和运营本钱高昂，，，，，，，，且无法有用识别未知威胁

SIEM已经成为盛行且有用的清静运营手艺，，，，，，，，但SIEM面临诸多问题和挑战。。。。。34%的受访者以为SIEM软件价钱很腾贵，，，，，，，，32%的受访者以为维护和运营SIEM基础设施本钱高昂，，，，，，，，需要大宗的资源和时间来运营。。。。。30%的受访者以为，，，，，，，，虽然有履历的专家剖析师可以从SIEM中获益，，，，，，，，但初级剖析师仍在SIEM学习曲线中苦苦挣扎。。。。。需要特殊注重的是，，，，，，，，30%的受访者以为，，，，，，，，虽然SIEM可以有用地检测已知威胁，，，，，，，，可是无法有用识别未知威胁。。。。。

图2：SIEM面临的最大挑战

总的来说，，，，，，，，图2代表了当下企业和组织清静运营的状态。。。。。种种清静运营工具重大难用、本钱高昂，，，，，，，，检测重大未知威胁（能够在跨网络和云事情负载中横向移动的高级威胁）效率低下。。。。。CISO正在起劲追求提高清静效率的解决计划，，，，，，，，同时降低清静运营的本钱和重大性。。。。。

2.2清静运营最大手艺挑战是数据摄入 清静剖析和运营严重依赖于网络、处置惩罚、剖析和响应一直增添的清静数据。。。。。日志数据类型不但包括防火墙日志、EDR数据、网络流量、威胁情报、电子邮件、web署理日志，，，，，，，，并且还包括许多其他遥测数据源。。。。。企业和组织在清静数据治理方面面临诸多问题和挑战：清静告警误报过滤（38%），，，，，，，，数据管道弹性（37%），，，，，，，，网络、处置惩罚、上下文威胁情报（36%），，，，，，，，以及构建有用的流处置惩罚或批处置惩罚数据管道（34%）。。。。。 

图3：清静数据和告警治理挑战

 03  XDR成提升清静效能的潜在途径

 企业和组织将XDR视为资助他们明确、识别和检测重大的跨杀伤链攻击的潜在途径。。。。。大大都企业和组织期望新的解决计划可以简化重大攻击链的可视化，，，，，，，，并提供能够关联多种泉源信号的高级剖析能力，，，，，，，，三分之一（31%）的企业和组织需要自动化响应能力。。。。。若是XDR解决计划能够阻止攻击并跨终端、网络、效劳器以及云的事情负载更新规则集，，，，，，，，将特殊适用有用。。。。。 

图4：最吸引用户的XDR功效

只管XDR手艺可能有助于企业和组织战胜现有清静控制和治理工具在举行威胁检测和响应时的问题，，，，，，，，可是企业和组织对XDR的看法和界说认知差别很大。。。。。大都受访者（36%）以为XDR是一个整合的清静数据管道，，，，，，，，用于网络、处置惩罚和剖析多个控件和数据源。。。。。其他受访者以为XDR是现有的清静控制和运营手艺的增补和增强，，，，，，，，或者是集成清静数据治理、剖析和自动化响应的手艺栈，，，，，，，，或者是终端检测与响应（EDR）手艺的演化。。。。。 

图5：对XDR看法和界说的差别认知

现实上，，，，，，，，XDR不但包括上述所有看法和界说并且不止云云，，，，，，，，但用户会对XDR的看法和界说爆发疑心。。。。。因此，，，，，，，，XDR供应商需要接纳适当的资源教育整个市场，，，，，，，，并与清静团队相助，，，，，，，，剖析XDR是什么以及它能提供什么价值。。。。。

3.1 XDR需要处置惩罚数据摄入问题

鉴于数据摄入是清静运营最大手艺挑战，，，，，，，，XDR需要重视清静数据治理能力建设。。。。。清静数据治理保存大宗的工程事情，，，，，，，，需要综合思量各个方面，，，，，，，，进而确定响应的优先级。。。。。为了战胜清静数据治理挑战和潜在的数据瓶颈，，，，，，，，各个企业和组织正在构建或刷新其清静数据管道（40%），，，，，，，，处置惩罚、剖析跨多个清静控件的信号以检测重大的攻击（39%），，，，，，，，并网络、集中化更多的清静数据（32%）。。。。。

图6：清静数据管道构建或刷新的优先级

为了顺应清静数据的大规模、高速性和多样性等特点，，，，，，，，XDR手艺需要由一个现代化的数据管道支持，，，，，，，，这个管道可以跨营业系统大规模地网络和处置惩罚清静数据。。。。。若是不具备这种能力，，，，，，，，XDR解决计划需要构建在开源、商业日志治理系统或基于云的数据库和存储产品之上。。。。。

3.2 XDR需要扩展SIEM能力

只管SIEM面临诸多问题和挑战，，，，，，，，SIEM是当今威胁检测和响应工具中三个最有价值的之一。。。。。SIEM最有价值的特征包括能够检测特殊类型清静事务（例如，，，，，，，，勒索软件、垂纶、误差使用、数据泄露）的高级检测能力，，，，，，，，能够适用威胁检测和响应差别场景（例如，，，，，，，，恶意软件检测、威胁狩猎、视察、培训剖析师）的清静运营能力，，，，，，，，以及综合UEBA、SOAR、威胁情报剖析等清静功效的集成能力。。。。。只管EDR、NDR和威胁情报平台关于清静运营也很有用，，，，，，，，但SIEM主要特色在于：作为主要的清静机制有用整合、存储、关联和报告清静数据。。。。。

图7：SIEM最有价值的特征

XDR需要扩展SIEM中这些有价值的能力。。。。。凌驾一半的受访者以为XDR可以在增强现有清静剖析能力、与SOAR集成以实现清静运营流程自动化、与DevOps集成将清静植入CI/CD流水线方面施展作用。。。。。这样的话，，，，，，，，XDR不但可以刷新威胁检测和响应，，，，，，，，还可以资助实现清静运营流程的现代化、集成化和自动化。。。。。XDR也就成了SOC现代化的催化剂。。。。。 

图8：XDR推动SOC现代化的方法

3.3 XDR需要配套MDR效劳

托管检测和响应效劳（Managed Detection andResponse Services , MDR）正在成为大大都现代清静系统的主要部分。。。。。大大都企业和组织正在使用MDR提供商的效劳，，，，，，，，或者正在加入接纳MDR提供商的项目。。。。。至于这背后的驱动因素，，，，，，，，ESG报告显示：凌驾一半的企业和组织以为MDR提供商在威胁检测和响应方面比他们单独做要更好，，，，，，，，43%的企业和组织以为将MDR效劳添加到现有的MSSP条约中是一个很好的营业和手艺决议，，，，，，，，42%的企业和组织通过终端提供商购置MDR效劳，，，，，，，，38%的企业和组织将MDR视为手艺提升的手段，，，，，，，，35%的企业和组织需要MDR效劳来提升清静团队专业水平。。。。。  

图9：MDR效劳背后的驱动因素

清静剖析师需要现实的资助，，，，，，，，托管XDR是对XDR内部运营来说是一个很有吸引力的替换计划。。。。。有一半的受访者对完全托管XDR感兴趣。。。。。别的，，，，，，，，为7x24运营提供职员扩充也很受接待，，，，，，，，包括威胁检测（45%），，，，，，，，安排效劳（45%）以及事故响应（42%）。。。。。

图10：有吸引力的MDR效劳

 鉴于这些普遍的效劳需求，，，，，，，，XDR手艺提供商必需与企业级MSSP相助提供托管效劳或提供全套效劳。。。。。

04  云清静将是XDR落地优异起源

 图11：XDR落地的偏向

凌驾2/3的机构妄想在未来6-12月开展XDR投资。。。。。除了专门的预算，，，，，，，，XDR的资金也可能来自SOC手艺预算、EDR预算，，，，，，，，甚至SIEM预算。。。。。

目今，，，，，，，，云检测和响应市场仍保存较大空缺，，，，，，，，将是XDR的优异起源。。。。。

在思量从那里着手实验XDR时，，，，，，，，42%的受访者以为，，，，，，，，XDR应当重点为云事情负载和SaaS提供应威胁检测和响应能力。。。。。这批注许多企业和组织都保存云清静盲点，，，，，，，，可能很难检测到误差使用、恶意软件下载以及云事情负载和SaaS应用的异常行为。。。。。

同样值得注重的是，，，，，，，，三分之一的受访者以为，，，，，，，，XDR应重点增补或替换SIEM。。。。。这是由于SIEM是一项基础SOC手艺，，，，，，，，大大都企业和组织可能会将XDR添加到SIEM中用来提高告警质量，，，，，，，，资助初级剖析师对事务举行分类，，，，，，，，或使用XDR的高级威胁检测手艺来增补SIEM关联规则。。。。。 

图12：接纳XDR替换现有清静项目的意愿

现实上，，，，，，，，随着时间的推移，，，，，，，，一旦企业和组织最先了XDR项目，，，，，，，，XDR就可以取代现有的手艺（例如EDR、NDR、SIEM）并飞速生长。。。。。事实上，，，，，，，，近一半（48%）受访者愿意用集成的XDR解决计划替换单个控件；；；；；尚有47%的受访者会思量替换单个控件，，，，，，，，但条件是确保集成的XDR解决计划的优越性。。。。。

数据批注：企业和组织需要细麋集成的SOC解决计划，，，，，，，，但替换工具并非易事。。。。。CISO必需评估其现有的清静组合，，，，，，，，找出手艺和流程的弱点，，，，，，，，然后建设XDR项目，，，，，，，，从解决其中最大的挑战最先。。。。。工具替换必需以详细妄想、SOC最佳实践和XDR参考架构为指导。。。。。

未来，，，，，，，，随着大大都企业和组织增添对威胁检测和响应手艺的投资，，，，，，，，清静团队将履历强烈的痛苦，，，，，，，，能够清晰叙述XDR愿景和战略的提供商将在2021年蓬勃生长。。。。。