安全团队依然面对急剧检测和响应安全威胁等基础性的挑战。XDR被视为援手在攻击链中检测、、鉴别和相识复杂威胁的潜在伎俩。

近期，全球驰名信息技术分析和征询机构ESG的汇报显示：：：企业和组织正在致力提升终端检测与响应平台（Endpoint Detection and Response, EDR）、、网络检测与响应平台（Network Detection and Response, NDR）以及其他安全分析规划的能力，以支持越发全面的威胁检测和响应。扩大检测与响应平台（eXtended Detection and Response, XDR）恰逢其时。但部署XDR从何动手？？？必要同时配置哪些安全能力？？？

01  威胁检测和响应的重点 

ESG汇报显示，提升高级威胁检测能力成为威胁检测和响应的首要工作。

34%的受访者以为威胁检测和响应必要重点提升高级威胁检测能力，33%的受访者以为该当重点提升自动化修复能力，29%的受访者以为该当降低威胁的均匀响应功夫。

概括来说，安全运营中心（SOC）团队必要提升威胁检测和响应的效能，尤其是在面对随着功夫推移可能在网络中横向移动的未知威胁时。

 图1：：：威胁检测和响应的重点领域 

02  威胁检测和响应的挑战

 2.1安全运营工具采办、、守护和运营成本高昂，且无法有效鉴别未知威胁

SIEM已经成为盛行且有效的安全运营技术，但SIEM面对诸多问题和挑战。34%的受访者以为SIEM软件价值很昂贵，32%的受访者以为守护和运营SIEM基础设施成本高昂，必要大量的资源和功夫来运营。30%的受访者以为，固然有经验的专家分析师能够从SIEM中获益，但低级分析师仍在SIEM学习曲线中苦苦挣扎。必要出格把稳的是，30%的受访者以为，固然SIEM能够有效地检测已知威胁，但是无法有效鉴别未知威胁。

图2：：：SIEM面对的最大挑战

总的来说，图2代表了当下企业和组织安全运营的状态。各类安全运营工具复杂难用、、成本高昂，检测复杂未知威胁（可能在跨网络和云工作负载中横向移动的高级威胁）效能低下。CISO正在致力寻求提高安全效能的解决规划，同时降低安全运营的成本和复杂性。

2.2安全运营最大技术挑战是数据摄入 安全分析和运营严重依赖于网络、、处置、、分析和响应不休增长的安全数据。日志数据类型不仅蕴含防火墙日志、、EDR数据、、网络流量、、威胁谍报、、电子邮件、、web代理日志，并且还蕴含很多其他遥测数据源。企业和组织在安全数据治理方面面对诸多问题和挑战：：：安全告警误报过滤（38%），数据管道弹性（37%），网络、、处置、、高低文威胁谍报（36%），以及构建有效的流处置或批处置数据管道（34%）。 

图3：：：安全数据和告警治理挑战

 03  XDR成提升安全效力的潜在蹊径

 企业和组织将XDR视为援手他们理解、、鉴别和检测复杂的跨杀伤链攻击的潜在蹊径。大无数企业和组织进展新的解决规划能够简化复杂攻击链的可视化，并提供可能关联多种起源信号的高级分析能力，三分之一（31%）的企业和组织必要自动化响应能力。若是XDR解决规划可能阻止攻击并跨终端、、网络、、服务器以及云的工作负载更新规定集，将出格实用有效。 

图4：：：最吸引用户的XDR职能

只管XDR技术可能有助于企业和组织克服现有安全节制和治理工具在进行威胁检测和响应时的问题，但是企业和组织对XDR的概念和界说认知差距很大。无数受访者（36%）以为XDR是一个整合的安全数据管道，用于网络、、处置和分析多个控件和数据源。其他受访者以为XDR是现有的安全节制和运营技术的补充和加强，或者是集成安全数据治理、、分析和自动化响应的技术栈，或者是终端检测与响应（EDR）技术的演化。 

图5：：：对XDR概念和界说的分歧认知

现实上，XDR不仅蕴含上述所有概念和界说并且不止如此，但用户会对XDR的概念和界说产生猜疑。因而，XDR供给商必要采取适当的资源教育整个市场，并与安全团队合作，说明XDR是什么以及它能提供什么价值。

3.1 XDR必要处置数据摄入问题

鉴于数据摄入是安全运营最大技术挑战，XDR必要器重安全数据治理能力建设。安全数据治理存在大量的工程工作，必要综合思考各个方面，进而确定相应的优先级。为了克服安全数据治理挑战和潜在的数据瓶颈，各个企业和组织正在构建或改进其安全数据管道（40%），处置、、分析跨多个安全控件的信号以检测复杂的攻击（39%），并网络、、集中化更多的安全数据（32%）。

图6：：：安全数据管道构建或改进的优先级

为了适应安全数据的大规、、高速性和多样性等特点，XDR技术必要由一个现代化的数据管道支持，这个管道能够跨业务系统大规模地网络和处置安全数据。若是不具备这种能力，XDR解决规划必要构建在开源、、贸易日志治理系统或基于云的数据库和存储产品之上。

3.2 XDR必要扩大SIEM能力

只管SIEM面对诸多问题和挑战，SIEM是当今威胁检测和响应工具中三个最有价值的之一。SIEM最有价值的个性蕴含可能检测特殊类型安全事务（例如，勒索软件、、垂钓、、缝隙利用、、数据泄露）的高级检测能力，可能合用威胁检测和响应分歧场景（例如，恶意软件检测、、威胁狩猎、、调查、、培训分析师）的安全运营能力，以及综合UEBA、、SOAR、、威胁谍报分析等安全职能的集成能力。只管EDR、、NDR和威胁谍报平台对于安全运营也很有效，但SIEM重要特色在于：：：作为重要的安全机制有效整合、、存储、、关联和汇报安全数据。

图7：：：SIEM最有价值的个性

XDR必要扩大SIEM中这些有价值的能力。超过一半的受访者以为XDR能够在加强现有安全分析能力、、与SOAR集成以实现安全运营流程自动化、、与DevOps集成将安全植入CI/CD流水线方面阐扬作用。这样的话，XDR不仅能够改进威胁检测和响应，还能够援手实现安全运营流程的现代化、、集成化和自动化。XDR也就成了SOC现代化的催化剂。 

图8：：：XDR推动SOC现代化的方式

3.3 XDR必要配套MDR服务

托管检测和响应服务（Managed Detection andResponse Services , MDR）正在成为大无数现代安整个系的重要部门。大无数企业和组织正在使用MDR提供商的服务，或者正在参加选取MDR提供商的项目。至于这背后的驱动成分，ESG汇报显示：：：超过一半的企业和组织以为MDR提供商在威胁检测和响应方面比他们单独做要更好，43%的企业和组织以为将MDR服务增长到现有的MSSP合同中是一个很好的业务和技术决策，42%的企业和组织通过终端提供商采办MDR服务，38%的企业和组织将MDR视为技术提升的伎俩，35%的企业和组织必要MDR服务来提升安全团队专业水平。  

图9：：：MDR服务背后的驱动成分

安全分析师必要现实的援手，托管XDR是对XDR内部运营来说是一个很有吸引力的代替规划。有一半的受访者对齐全托管XDR感兴致。此外，为7x24运营提供人员扩充也很受欢迎，蕴含威胁检测（45%），部署服务（45%）以及变乱响应（42%）。

图10：：：有吸引力的MDR服务

 鉴于这些宽泛的服务需要，XDR技术提供商必须与企业级MSSP合作提供托管服务或提供全套服务。

04  云安全将是XDR落地优良初步

 图11：：：XDR落地的方向

超过2/3的机构打算在将来6-12月发展XDR投资。除了专门的预算，XDR的资金也可能来自SOC技术预算、、EDR预算，甚至SIEM预算。

当前，云检测和响应市场仍存在较大空缺，将是XDR的优良初步。

在思考从何处着手执行XDR时，42%的受访者以为，XDR该当重点为云工作负载和SaaS提供给威胁检测和响应能力。这批注很多企业和组织都存在云安全盲点，可能很难检测到缝隙利用、、恶意软件下载以及云工作负载和SaaS利用的异常行为。

同样值妥贴心的是，三分之一的受访者以为，XDR应重点补充或代替SIEM。这是由于SIEM是一项基础SOC技术，大无数企业和组织可能会将XDR增长到SIEM中用来提高告警质量，援手低级分析师对事务进行分类，或利用XDR的高级威胁检测技术来补充SIEM关联规定。 

图12：：：选取XDR代替现有安全项主张意愿

现实上，随着功夫的推移，一旦企业和组织起头了XDR项目，XDR就能够取代现有的技术（例如EDR、、NDR、、SIEM）并飞速发展。事实上，近一半（48%）受访者愿意用集成的XDR解决规划代替单个控件
；
；还有47%的受访者会思考代替单个控件，但前提是确保集成的XDR解决规划的优越性。

数据批注：：：企业和组织必要缜密集成的SOC解决规划，但更换工具并非易事。CISO必须评估其现有的安全组合，找出技术和流程的弱点，而后创建XDR项目，从解决其中最大的挑战起头。工具更换必须以具体规划、、SOC最佳实际和XDR参考架构为领导。

将来，随着大无数企业和组织增长对威胁检测和响应技术的投资，安全团队将经历剧烈的疾苦，可能清澈论述XDR愿景和战术的提供商将在2021年蓬勃发展。