Защита и операции
XDR (расширенное обнаружение и реагирование)
Определение
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
Примеры
- Microsoft Defender XDR сопоставляет фишинговый клик в Office 365 с оповещением EDR на ноутбуке того же пользователя.
- Cortex XDR связывает вредоносный PowerShell на конечной точке с боковым трафиком SMB, зафиксированным сетевыми сенсорами.
Связанные термины
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
NDR (обнаружение и реагирование в сети)
Технология сетевой безопасности, анализирующая трафик (включая расшифрованный, метаданные и потоковые данные) с помощью поведенческой аналитики и ML, чтобы обнаруживать угрозы и оркестровать реагирование.
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
MDR (управляемое обнаружение и реагирование)
Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM.
Центр обеспечения безопасности (SOC)
Централизованная команда и площадка, осуществляющая непрерывный мониторинг, обнаружение, расследование и реагирование на инциденты кибербезопасности во всей ИТ-инфраструктуре организации.
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.