和当今指数倍增长的安全数据相比，安全人才的短缺带来了潜在的风险。几乎所有的公司，无论规模大小，在安全资源能力上都有限，需要过滤各种告警才能将分析量保持在可接受范围。但这样一来，潜在的威胁线索就可能被埋没，而攻击者就有机会潜伏更长时间，从而增加安全事故的发生几率。

在这个情况下，一种新的技术XDR（eXtended Detection and Response）出现了，为数据资源和安全运维之间提供技术集成，从而加速检测和响应。XDR解决方案会集成一系列的统一管控点、安全数据、分析和运维能力，成为一个单独的企业解决方案。Gartner最近为XDR进行了以下标注：“安全和风险管理领导者应该基于风险考虑XDR解决方案的优势。”

自动化监控与分类软件供应商Respond Software的CTO兼联合创始人Chris Calvert就五个问题对XDR解决方案的必要性发表了看法。

第一问：你SIEM的解决方案多有效？

现在SIEM解决方案非常火，但SIEM需要一系列的规则才能减少安全团队分析的安全事件数量。SIEM基于的逻辑过于单一，难以隔离和分析真正的攻击。另外，SIEM的规则和编写SIEM规则的人的能力都参差不齐，造成不准确或者不完全的分析。最后，大部分组织都缺少时间和预算，来部署和维护自己的SIEM架构。

第二问：你SOAR的效益最大化了吗？

一些组织正在使用SOAR平台，可以让工程师编写代码，对低危的安全事件自动化进行数据收集、关联、填充、响应等任务。但SOAR的问题在于，这些工具一旦遇到海量需要分析的数据的时候，就会极大降低自己的修复能力。所以，现在SOAR解决方案很多时候被调整用于降低告警数量，但这无异于花了大价钱，用一个强大的工具，却刻意降低了它的效用。

第三问：能否剔除误报？

EDR在独立使用的时候，会产生大量的误报。不得不说，EDR在收集数据方面很有效，但如果想实时判定某件东西是否是恶意的，那任务对它而言就过于繁重了。但是，当EDR集成到了XDR引擎中时，它就能快速处理大量传感信息。这些信息不仅仅是来自终端的数据，还包括了来自网络遥测点和其他传感器的数据、漏洞信息、威胁情报、以及一些关于账户和独立系统的信息。

第四问：你是否在想要单独完整的解决方案同时，害怕被厂商绑定？

XDR是一个不错的附加工具，但它也有自己的局限性。举个例子，大部分XDR解决方案受限于供应商的技术结构，会减少能够关联的安全数据量，同时让客户不得不绑定一些昂贵的工具。另外，检测能力也有局限性，或者需要专业人员进行定制化服务。

第五问：你能选出最佳解决方案吗？

另一种选择，是选择不绑定厂商的XDR引擎，可以给安全团队带来双重的好处：能够实时发现事故的同时，还能用多种安全技术进行工作。环境中的传感器会生成不同的数据和证据，并且都需要被大批量的关联和分析。不绑定厂商的XDR引擎可以和多个厂商、遥测、威胁情报等协同，有效地只针对恶意，且需要采取行动的事故进行告警。

数世咨询评：传统基于规则的被动防御技术已经无法适应新的威胁环境，网络安全已经进入检测与响应时代。因此，EDR（端点）、NDR（网络）、MDR（托管）、TDR（威胁）等检测与响应技术纷纷出现，并且包括了威胁捕捉、行为分析、威胁情报等新兴自动化工具。XDR泛指一切基于检测与响应技术的工具和方案，关注的是威胁和风险控制。

关键词：自动化检测和响应；