Gartner发布XDR扩展检测和响应市场指南:XDR需要具备的19项功能
XDR 产品为安全团队提供统一的威胁预防、检测和响应功能。这项研究为安全和风险管理领导者提供了战略指导,帮助他们了解和评估扩展检测和响应平台是否适合他们的需求。
主要发现
-
扩展检测和响应(XDR)产品与供应商发布的战略安全平台密切相关。
-
XDR 产品通常被定位为统一 XDR供应商产品组合和选定合作伙伴的安全运营的一种方式。
-
XDR 的采用主要针对安全团队规模较小且可能尚未充分利用安全信息和事件管理 (SIEM) 和/或安全编排自动化和响应 (SOAR) 产品的组织。
-
XDR 可以降低 SIEM 成本,同时通过检测和响应能力提高告警质量,但前提是客户的定制要求有限。
建议
-
将 XDR 作为供应商整合战略的一部分进行评估,以便在现有分散产品体验不佳的情况下提高安全效力和运营效率。
-
如果通过 XDR 在效率和总体拥有成本节省方面获得的收益最小,请使用功能齐全的 SIEM 和 SOAR 替代方案。
-
评估 XDR 时,应考虑其整体效用,而不仅仅是其组成部分。需要考虑的功能包括功能编排和自动化、快速即时响应、集成和高级安全分析。
市场定义
扩展检测和响应 (XDR) 为安全基础设施提供统一的安全事件检测和自动响应功能。XDR 将威胁情报和遥测数据(来自多个来源)与安全分析相结合,以提供安全告警的情境化和关联性,它们还必须包含本机传感器。XDR 可以在本地交付或作为 SaaS 产品交付,通常由安全团队规模较小的组织部署。
XDR 产品必须协助:
-
将所有安全事件数据集成并关联到单一系统中
-
在适当的时候提供对事件的自动响应
-
将发现的事件组织成预先设定的威胁响应
-
为事件响应人员提供全面的工作空间来调查、分析背景并解决可疑事件
-
提供自动化/编排工作流程以支持可重复的操作任务
-
提供强大的用例、仪表板和剧本,无需定制
-
最大限度地提高安全运营团队的效率
强制功能
该市场的强制性特征包括:
-
至少两个本机安全传感器,其中一个是终端加日志提取
-
提供所有集成安全技术输出的态势感知并执行调查和本地自动响应的工作区
-
利用机器学习 (ML)、关联、丰富和情境化进行安全分析
共同功能
该市场的共同特点包括:
-
原生威胁情报以及对第三方威胁情报 (TI )的支持
-
与外部身份提供商平台集成
-
手动修复事件
-
常见威胁类型的响应手册
-
票务系统集成
-
威胁狩猎
-
与IT运营管理工具集成
-
支持MITRE ATT&CK 框架映射
-
能够根据业务流程的关键程度标记资产
市场描述
XDR 能够提供统一、高效的方法来检测和应对威胁。它旨在以最少的定制来提高运营效率。
XDR 市场由提供紧密集成的安全产品的供应商组成,这些产品可在整个常用的安全基础设施中提供常见的威胁预防、检测和事件响应。
XDR 市场正在不断增长,各种供应商、方法和背景的产品层出不穷。XDR产品将吸引那些务实的安全领导者,他们必须在有限的资源下组建安全运营团队。
XDR 产品并非旨在取代现代 SIEM 产品通常执行的每一项任务。XDR 专注于威胁预防、检测和事件响应。XDR 提供商负责集成和关联,这限制了与 SIEM 相关的 XDR 定制。
XDR可以通过以下方式改善安全运营:
-
通过将来自多个组件的弱信号与可运营事件关联起来,组合成更强的信号,提高告警保真度。
-
通过自动关联和确认减少已确认事件的告警量。
-
提供集中配置和加权指导,帮助确定配置改进的优先级。
-
在子组件之间立即共享威胁情报,以便有效地阻止所有传感器和第三方集成中的威胁。
-
利用供应商提供的内容来传递常见威胁检测的系统检测内容,几乎不需要进行任何调整。
XDR 可以通过以下方式提高安全运营人员的工作效率:
-
将大量告警流转换为可进行有效调查的少量丰富事件。
-
通过提供跨安全产品的通用管理、策略和工作流程体验,减少完成运营任务所需的培训和技能。
-
提供具有来自一系列安全组件的必要背景的事件响应选项,以便快速响应事件。
-
提供超越基础设施控制点的响应选项,包括与第三方产品的集成。
-
为重复任务提供编排和自动化功能。
图1说明了核心 XDR组件。
图 1:XDR 核心元素
XDR 是多个层的组合,需要由安全领导者识别和评估。这些层可以识别为仪表板、传感器或分析。
传感器层
XDR 产品应与安全基础设施产品平台紧密相连,该平台至少包含一个终端保护平台 (EPP) 产品,以及至少一个附加安全产品。EPP 之外的安全传感器可能包括(但不限于)防火墙、入侵检测和预防、网络检测和响应 (NDR ) 、身份、电子邮件安全、移动威胁检测和云工作负载保护。XDR必须能够提取、关联和情境化日志数据。它还应该能够提取、关联和情境化来自第三方供应商产品的遥测数据。
策略和数据层
该层应包括:
-
所有组件的统一策略引擎。
-
集中式数据存储,可在多个地区使用,用于存储和处理来自XDR 组件产品的遥测数据。这应包括其他数据源的相关生态系统。
-
与第三方产品集成,以便接收额外信号或采取补救措施。
-
对来自本地传感器和第三方遥测的遥测进行高级分析,以预处理和关联告警。这可以减少高价值事件的数量,同时减少误报。
-
执行安全运营和事件响应的自动化、编排和工作流功能的固有能力,包括与 XDR 之外的产品交互的能力。
-
能够检测和处理内容以关联事件并改进来自多个信号的工作流程。这应该独立于传统的单点解决方案威胁内容并与之互补。
-
高级分析利用多种遥测源来实现有意义的威胁检测用例。
仪表板层
要控制所有事物,XDR 需要一个仪表板层。这是分析师与 XDR 产品交互的地方。这也是处理编排和自动化的组件所在。这一层的关键在于分析师能够轻松地与系统交互以确定告警和事件。
XDR 带来的总体成果
总体而言,XDR 应该:
-
通过提供预集成的威胁检测来减少构建检测堆栈所需的集成时间。
-
利用供应商自己的生态系统进行预防、检测和响应用例,同时轻松连接到第三方安全产品。
-
拥有支持预防、检测和响应用例的内容和工作流程,并减少对手的驻留时间和遏制威胁所需的时间。
-
提供包括配置建议评估在内的内容支持,并帮助用户对检测到的事件进行指导和最佳实践的策略配置和操作。
-
提供与 IT 运营工具的集成(如 IT 服务管理 [ITSM] 票务工作流工具)。
市场方向
XDR 对现代 SecOps 挑战的贡献
从产品角度来看,XDR是从多种技术发展而来的,但主要源于 EPP。XDR的演变仍在继续,目前已有多家供应商提供日志遥测提取、存储和分析以及 EDR 数据和威胁情报。这种组合方法现在允许 XDR 供应商向 XDR 提供 SIEM 迁移选项(针对某些用例)。
不仅安全运营技能的可用性有限,而且数据运营技能、技术专业知识和威胁情报技能的组合通常依赖于多年的经验。XDR产品旨在利用技术提供高度集成的界面、数据集中化、向导、自然语言翻译、自动化和编排,从而减轻部分招聘负担。
XDR 专注于整个安全基础设施的预防、检测和事件响应用例。XDR 并非旨在解决合规性问题、提供全栈应用程序安全性或提供其他安全产品提供的操作用例。此外,XDR作为长期日志存储设施通常具有较少的选项。XDR可以跨异构日志存储工作,使用分析实时整合相关日志数据以进行威胁检测,并且通常侧重于短期保留期(通常为 90 天)。
所有组织(无论大小)都必须不断更新其检测堆栈技术,以反映不断变化的威胁形势。较小的组织应优先防御常见的攻击,并且通常可以重复使用其提供商的检测内容来实现此类结果。更成熟和更复杂的组织倾向于构建更加定制的检测内容,其中可以包含特定组织独有的元素。
XDR 解决方案可帮助组织克服安全运营挑战,即通过允许客户端重复使用其检测内容来应对常见和命名攻击,从而保持安全堆栈的新鲜和最新。这种不仅融合了威胁情报,而且融合了分析所需的实际遥测数据,无需进行大量的客户端定制即可产生相当有用的告警。
然而,一些 XDR 供应商重复使用检测内容的方式无法应对需要定制客户端开发的更复杂的攻击。需要此类定制检测内容的客户通常更喜欢类似 SIEM 的功能,以便实现更可扩展的遥测提取和分析方法。
封闭与开放
由于 XDR 概念的流行,许多供应商声称提供不符合 XDR 功能的XDR 产品。他们以符合自己世界观的方式选择了 XDR 的定义,并使用了“开放式 XDR”等术语。在这一点上,重要的是使用上下文来充分理解开放式 XDR 的含义。一方面,我们发现开放式 XDR 通常用于供应商的产品没有提供足够的原生传感器,但提供与第三方传感器的广泛集成。这种类型的产品可能对某些客户有益,但可能不符合大多数 XDR 买家的需求。
同时, XDR 产品的基础不仅仅是通过提供功能齐全且文档齐全的 API 来支持集成到环境中,从而实现原生集成。这些 API 广泛用于托管检测和响应 (MDR) 等服务,以及 SIEM 和 SOAR 等技术用于大型客户端。
相反,我们看到供应商表示他们的 XDR 只能在其生态系统内使用。声称拥有 XDR 产品但无法从第三方获取选定信号的供应商是封闭式XDR。封闭式 XDR 的概念也违反了 XDR 的前提,并将客户锁定在供应商的产品中。
满足大多数买家需求的产品都拥有一系列内置传感器,并且可以同时使用组织现有产品的遥测数据。
在考虑 XDR 产品时,不要只关注术语(例如开放 XDR),而要更多地关注期望的结果。开发您的用例并根据这些用例评估产品功能,以做出有意义的业务决策。确保包含您的组织所需的预定义内容和集成。
与MDR托管检测和响应服务的关系
虽然 XDR 是一套预防、检测和响应产品,但MDR可以成为XDR 产品的消费者,这些产品提供的“服务”以结果为中心,并且在所涉及的流程和技术方面更加灵活。在 MDR 提供商使用的技术中,MDR 等服务的结果与 XDR 等产品的功能之间的目标存在一定的一致性。MDR 提供商可以(有时)选择使用 XDR 产品作为其核心服务交付平台。
XDR 是 MDR 服务营销中越来越常用的一个术语,但这可能会产生误导。在选择安全产品时,XDR 可能与供应商提供的服务包装层相结合来运营该技术,从而产生更类似于 MDR 的交付模式。
市场分析
Gartner 估计,全球 XDR 收入在 30 亿至 35 亿美元之间。一些供应商将 XDR 作为独立产品收费,而大多数供应商则将其作为多功能产品的附加产品。因此,未来几年 XDR 的采用具有相当大的上升空间。在Gartner 的调查中,最终用户对 XDR 的讨论通常始于由 EPP 分析师主导的关于 EPP 的讨论。Gartner预测,XDR 将继续推动安全市场的整合,大型供应商将收购小型公司以填补其产品组合中的空白,从而满足 XDR 的要求。
使用案例
组织正在寻找能够提高其安全运营效率的产品。XDR 可以通过多种方式提供价值,下面讨论最突出的用例。
用例 1 :通过预构建集成将安全产品集中到单一供应商
XDR 通过使用单一产品套件来采集、分析和情境化网络数据、EPP 事件和安全电子邮件网关事件,帮助推动供应商整合。这可以提高组织处理告警的能力,同时降低运营复杂性。从管理产品的技术角度和获取产品的业务角度来看,这都是可行的。
用例2:告警关联与主动遏制相结合
组织有时很难关联和响应不同安全产品生成的告警。XDR 可以提供跨不同类别传感器(包括来自多个供应商的传感器)的安全分析,并提供单一来源或信息类型无法获得的洞察。
典型的攻击会在各种安全产品中生成多个告警,这些安全产品会孤立地分析告警。在一种产品中,特定告警的风险级别可能高于某个阈值,而在另一种产品中则较低。如果是这样,告警可能不会触发立即的缓解措施或事件,以便发送给安全分析师进行进一步调查。攻击者可以利用这种脱节的安全分析,使用故意移动缓慢的“低速和慢速攻击”,因此告警太少而无法被注意到。可靠的 XDR 可以分析、关联和情境化来自其自身包含的传感器的不同告警。它还可以提取第三方遥测数据来生成事件,从而减少分析师的告警疲劳。
当然,这在没有 XDR 的情况下也是可能的,但需要手动配置 SIEM/SOAR 等产品,这些产品不仅要正确提取来自多个传感器的数据,还要制定检测规则。XDR经过预编程,可以正确提取数据,然后在无需分析师输入的情况下对其进行分析、关联和情境化。
由于 XDR 产品在分析传感器数据方面非常高效,因此将数据采集从 SIEM 转移到 XDR 是合理的。实际上,XDR 会对看到的告警进行预处理,并将有效事件通知 SIEM,以供安全分析师进行调查。
这将给组织带来两方面的益处:
1. 发送到 SIEM 的数据更少,因此可以降低运营成本。
2. XDR 可以使用供应商策划的“安全流程”情报来识别攻击,从而降低了手动制定检测规则的需要,从而提高了安全运营团队的运营效率。
用例3 :通过小型安全运营团队推出基本安全运营功能
小型安全运营团队很难收集和分析来自其安全产品的日志和告警。XDR 允许组织开始从现有安全产品中提取日志和告警,很多时候只是作为 EPP 的简单附加组件。可以根据团队的经验添加关联、检测和响应功能。XDR的价值在于它可以以最少的配置(如果有的话)从现有安全产品中本地提取数据。
提高运营效率
XDR 可以帮助提高 SIEM 等其他技术的运营效率。例如,XDR 拥有自己的数据湖,可以执行自己的威胁情报富化和告警关联。如果在 XDR 中获取、处理和存储这些数据的成本低于 SIEM ,则 XDR 可以降低总体运营成本。XDR还可以预处理事件,向 SIEM 发送更可信的告警,以优化安全分析师的时间和精力。这有助于优化安全运营中心的成本。
代表供应商
希望改进预防、检测和响应计划的 SRM 领导者应考虑 XDR 提供云交付和更集成的解决方案的能力。XDR 还可以通过减少组织现有的供应商数量来协助供应商整合工作。
表 1列出了提供XDR的代表性供应商(见注释 1)。
表1 :提供 XDR 的代表性供应商
供应商 | 产品名称 |
CrowdStrike | Falcon Insight XDR |
思科 | XDR |
Trellix | XDR |
微软 | 365 Defender |
Palo Alto | Cortex XDR |
SentinelOne | Singularity |
Stellar Cyber | Open XDR |
Sophos | XDR |
Secureworks | Taegis |
趋势科技 | Trend Vision One |
提供各种XDR功能的供应商也可以满足组织的要求,包括 Bitdefender、Check Point、With Secure和 Fortinet 。 |
来源:Gartner(2024 年 10 月)
市场建议
XDR 是检测和响应市场的一个颠覆性趋势。以下是安全领导者在考虑使用这项技术时应考虑的实用指南。
首先利用已有资源
探索现有点产品集成中已存在的功能,例如 SIEM、SOAR、NDR 和 EPP。确保拟议的 XDR 产品将涵盖现有功能以及整体威胁检测和响应程序中的其他相关差距。
至少要实现成本中性,并考虑运营节省
许可模式多种多样。XDR可以作为大型产品组合的免费组件提供,也可以作为收费升级提供,也可以作为独立的 XDR 平台出售。定价通常与终端数量有关,但也可以包含数据量组件。
向供应商施加压力,使其与你现有的点产品相比至少保持成本中性:
-
要求有竞争力的排量折扣来抵消暂时并行运行多个产品的过渡成本。
-
在从其他产品转换到 XDR 期间,要求对未使用的 XDR 组件减免价格。
-
不仅要评估产品成本,还要评估项目的全部成本。这包括迁移等项目,以及与安全运营和事件响应相关的其他相关流程更新和培训。
-
评估威胁检测的有效性。至关重要的是,它必须明显更容易日常操作,而这种时间节省应该成为您整体投资回报率评估的一部分。
评估集成和自动化的深度,而不仅仅是点产品的数量
XDR 的一个关键区别在于它作为一个平台相对于一系列点产品的性能如何:
-
子组件的集成与其合并的产品数量同样重要。
-
确保 XDR 附带(并支持)直接针对自动化和工作流程的额外“面向流程”内容的创建。
-
确保 XDR 支持多通道响应和遏制功能,例如:
o 从终端、云、日志和网络等多个点检查环境的其他部分是否出现了 IOC)。
o 从一个渠道获取检测结果,并在 XDR 支持的所有渠道应用响应自动操作。
要使 XDR 成为一项长期投资,需要评估生态系统整合的广度和深度
XDR 越容易集成到现有的环境中,投资就越划算。评估两种集成:
-
进入 XDR:允许 XDR 以编程方式与漏洞和暴露评估、ITSM 产品以及托管服务提供商等渠道集成。
-
从 XDR 来看:XDR 可以推动与其他产品的集成以提高效率。这样,XDR 可以成为其支持的其他产品的指挥中心,作为安全操作的主要仪表板。
确保必要时可以获得更长的数据保留期
虽然 XDR 提供数据存储,但通常是短期的。虽然 30 到 90 天通常足以满足核心 XDR 用例的需求,但能够通过合适的低成本存储选项和归档来增加这一时间可能是一些安全团队会利用的功能。
受监管行业可能具有外部和内部合规性要求,规定从各种服务中收集事件和安全日志。保留这些数据是为了以后检索、检查或取证访问——无论存储的日志数据的实际价值如何。