Entry № 1393
XDR(扩展检测与响应)
XDR(扩展检测与响应) 是什么?
XDR(扩展检测与响应)整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
扩展检测与响应(XDR)将 EDR 模型从端点扩展到更多层面,接入并关联来自端点、网络、身份提供方、云工作负载、邮件与 SaaS 的数据。统一的检测引擎在不同向量之间关联指标,生成完整的事件(而非孤立告警);统一的响应面板让分析师可以在同一控制台中隔离主机、撤销令牌或封堵目标。XDR 可由单一厂商提供(如 Microsoft Defender XDR、Palo Alto Cortex XDR、SentinelOne Singularity),也可采用开放或混合方案,旨在降低告警疲劳、缩短 MTTR,并减轻独立 EDR、NDR 与邮件安全产品的集成负担。
● 示例
- 01
Microsoft Defender XDR 将 Office 365 中的钓鱼点击与该用户笔记本上的 EDR 告警关联。
- 02
Cortex XDR 将端点上的恶意 PowerShell 与网络传感器捕获的横向 SMB 流量关联起来。
● 常见问题
XDR(扩展检测与响应) 是什么?
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。 它属于网络安全的 防御与运营 分类。
XDR(扩展检测与响应) 是什么意思?
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
如何防御 XDR(扩展检测与响应)?
针对 XDR(扩展检测与响应) 的防御通常结合技术控制与运营实践,详见上方完整定义。