Få saker i den moderna it-världen låter sig hanteras manuellt och inom silos, och det är dubbelt så sant inom säkerhetsområdet. Skalan på moderna it-system inom företag och på moderna applikationsarkitekturer kräver verktyg som kan ge insyn i säkerhetshållningen för moderna it-komponenter – verktyg som klarar täta integrationer för att upptäcka hot i realtid, och kanske även aspekter av automatiserad motverkan mot hot. Detta behov har gett upphov till den kategori av verktyg som kallas extended detection and response (XDR).
Vad är XDR och vad används det till?
XDR är en relativt ny klass av säkerhetsverktyg som kombinerar och bygger på starkaste elementen av security incident and event management (SIEM), endpoint detection and response (EDR), och även security orchestration and response (SOAR). Faktum är att vissa av de verktyg vi listar nedan är en fusion av existerande verktyg som leverantören redan erbjuder sedan tidigare.
Det är XDR-systemets rötter i SIEM som ger dem deras primära värde, vilket ger systemet kopiösa mängder av händelsedata från system i hela företaget. Dessa säkerhetsdata förstärks med de EDR-komponenter som kör på arbetsstationer och på servrar, och som även observerar arbetslaster som körs i molnet, såsom serverlösa funktioner och containrar.
XDR-system tar typiskt in data som samlats in från ditt företag och jämför dessa med telemetri från externa källor. Denna stora mängd data kan, när den analyseras med verktyg för maskininlärning, leda till proaktiv identifiering av hot eller av aktiva hot inom ditt nätverk.
I tillägg till att tidigt upptäcka attacker, hjälper XDR-system till vid jakt på hot, analys av grundorsaker och att reagera på incidenter. Händelser korreleras automatiskt med sammanhang som exempelvis användare eller system för att spåra skadlig aktivitet som tar sig fram mellan system, ökar sina rättigheter eller utför konfigurationsändringar.
Denna nivå av insyn är tillgänglig nästan ögonblickligen – utan behov av manuell översyn, av att kompilera händelseloggar eller spåra konfigurationsändringar. Samma insikter kan användas som hävstång för att ta initiala steg för sanering: stänga av konton, markera e-post som spam, och till och med svartlistning av ip-adresser. Den här typen av automatisering kan hjälpa till att köpa dig tid till att utveckla en handlingsplan för att fullt ut sanera och säkra din infrastruktur.
Utvärdera XDR-verktyg
Kostnaden kommer alltid att vara en nyckelfaktor för säkerhetssystem för företag som behöver skala, och XDR-system utgör inget undantag. De säljs nästan undantagslöst som prenumerationer, vilket betyder att du måste hantera en månatlig eller årlig kostnad. Liksom för många andra säkerhetsverktyg är denna kostnad en avvägning eftersom affärsrisken för dataförluster, eller helt enkelt effekten på affären vid ett intrång, är så monumentala.
Detsamma är sant för den personal som skulle behövas för att tillse samma nivå av skydd med hjälp av existerande system och genom att utföra manuella korrelationer av händelsedata. Nyckelegenskaper som XDR-system fokuserar på inkluderar sånt som integration mot existerande hårdvara, mjukvara och molninvesteringar, som kan påverka effektiviteten hos den valda plattformen, likväl som kostnaden och nivån på den ansträngning som behövs vid den initiala implementationen av lösningen.
Förmågan att hantera policys och regler är också viktigt för att ditt företag ska kunna finslipa XDR-systemets förmågor så att det möter dina affärsbehov och ger it-säkerhetsfolket ett mer effektivt sätt att reagera på hot och incidenter. Slutligen är användarvänlighet och utbildning (genom leverantören eller communities) viktiga för att snabbt kunna öka upp och upprätthålla din investering i en XDR-plattform.
Populära XDR-verktyg
Nedan finns några av de mest betydelsefulla XDR-verktygen, utan särskild ordning.
Trend Micro Vision OneTrend Micro är ett företag vars anor inom it-mjukvara går bakåt i decennier, och företagets XDR-erbjudande, Vision One, tillhör en av de mer respekterade XDR-plattformarna på marknaden. Vision One bockar av alla funktioner som ett XDR ska ha, inklusive förmågan att ta in data från ett otal källor och förmågan att säkra upp ändpunkter med EDR.
Vision One stödjer även proaktiv identifiering av sårbarheter, både inom företagets nätverk och alla som syns publikt. Det finns också möjligheter till automatiserad och förstärkt sanering med hjälp av anpassningsbara arbetsflöden, säkerhetsplaner och till och med möjligheten att utföra analyser i en isolerad sandlådemiljö.
Microsoft XDRMicrosoft är en av de leverantörer som uppnår XDR-liknande funktionalitet genom att kombinera olika tjänster: Microsoft Sentinel, Microsoft 365 Defender och Microsoft Defender for Cloud. Tjänsterna under Defender-avdelningen skyddar kundinriktade resurser (ändpunkter, appar och e-post) och molntjänster (databaser, lagring, virtuella servrar, containrar och annat), medan Sentinel utgör ett underlag för ett robust SIEM från vilket man kan se och agera på kontextualiserade varningar, jaga hot och initiera utredningar.
En uppenbar fördel med att använda Microsoft är den inneboende integrationen mellan deras molnplattformar, som Office 365 och Azure, men det stora värdet ligger i att Microsoft har liknande händelsedata tillgängligt för alla deras kunder, vilket gör det lättare för maskininlärningsfunktioner att identifiera misstänkta beteenden inom ditt företags resurser.
Microsoft ger också automatiseringsmöjligheter med Sentinel, inklusive kopplingar till första- och tredjepartstjänster med Logic Apps, eller möjligheten att skicka notiser via e-post eller inom Microsoft Teams.
Palo Alto Networks Cortex XDRPalo Alto’s Cortex XDR integrerar sig med dina ändpunkter i nätverket, enheter och molninfrastruktur för att identifiera och stänga ned attacker. Cortex drar nytta av beteendeanalys och maskininlärning för att upptäcka attacker och aggregera larm på ett effektivt och organiserat sätt.
Palo Alto lyfter fram agenten i Cortex XDR som en särskild styrka, som drar nytta av upptäckt av skadlig kod, värdbaserade brandväggar, diskkryptering och policybaserad hantering av usb-enheter. Triangulerings- och undersökningsprocessen understöds av automatiserad grundorsaksanalys och attacksekvensrapportering. Incidentrapportering och -artefakter genereras också med detaljerad nedbrytning av attackvektorer, omfång och verkan.
Crowdstrike Falcon Insight XDRCrowdstrikes XDR-erbjudande, Falcon Insight XDR, framhåller sig som en centralpunkt i försvaret av din infrastruktur genom att eliminera säkerhetsverktyg i silos och möjliggöra en sammanhängande överblick över alla säkerhetsdomäner. Falcon Insight XDR samlar in händelsedata från disparata, osammanhängande system och aggregerar, normaliserar och lägger på en kontext för att producera en förbättrad datauppsättning.
Denna rikedom av händelsedata blir sedan analyserad för att upptäcka hot och aktiva attacker, och maskininlärning används för att upptäcka tekniker på frammarsch framtagna av skadliga användare. Slutligen möjliggör Falcon Insight XDR för säkerhetsfolket att agera på ett lämpligt sätt genom att initiera svarshandlingar, antingen manuellt eller genom automatiserade arbetsflöden för att omedelbart stänga ned aktiva attacker.
Bitdefender Gravityzone Business Security EnterpriseBitdefenders antivirusverktyg är sedan länge en favorit bland it-professionella, så det kommer inte som en överraskning att de levererar skydd för ändpunkter som en del av erbjudandet Gravityzone XDR. Utöver ändpunkter övervakar Gravityzone även nätverksenheter, servrar och ett bred uppsättning arbetslaster i molnet som containerbaserade applikationer, Office 365, Azure AD och AWS.
Gravityzones analyser börjar vid sensorer med tidiga kontexter applicerade, med fler lager av dataförfining och normalisering tillämpat på molnlagret och användandet av Bitdefenders plattform för säkerhetsanalys. Gravityzone erbjuder olika sätt att visualisera incidenter, inklusive en tidslinje-vy och en incidentrådgivare. Gravityzone har till slut även en uppsättning av undersökning- och försvarsverktyg som låter dig sanera specifika ändpunkter, interagera inom en terminalmiljö på distans eller samla in digitalforensisk information.
Sentinel One Singularity XDRSentinel Ones Singularity platform överbryggar gapet mellan moln, ändpunkter och identiteter för att förse dig med en fullödig, enhetlig insyn över domäner och teknikstackar. Singularitys fokus på domäner börjar med datainsamling och analys, och bygger kontext oavsett händelsens källa, fortsätter genom sanering och låter dig vidta lämpliga åtgärder för att klara hoten i tid.
Via marknadsplatsen Singularity marketplace möjliggörs en tät integration med en uppsjö tredjepartsverktyg och -tjänster med utvalda kopplingar för Splunk, Okta, Microsoft, AWS, IBM Security, Servicenow och många fler. Singularitys Storyline-teknik nyttjas genom hela processen för att bygga ut en rik, användbar slutprodukt som vägleder dig genom fasen av att svara mot incidenter.
Cybereason XDRCybereason valde att bygga sin XDR-produkt ovanpå Google Chronicle som är en Google Cloud-baserad SIEM- och SOAR-plattform. Det finns en rejäl uppsida med att använda Google som din grundsten, och det är att Google gör dataanalys och korrelation bättre än kanske någon annan entitet i världen.
Cybereason har byggt sin EDR och sitt skydd för arbetslaster i molnet i främsta ledet i deras XDR, vilka båda förser dig med tidiga analyser av användar- och applikationsaktiviteter och identifierar viktiga telemetrier och skickar det vidare till Google Chronicle. Cybereasons MalOp Detection Engine tar in data om hot och korrelerar dem till visualiserade tidslinjer som visar en helhetsvy över attackvägen, och möjliggör för ditt säkerhetsteam svara på lämpligt sätt.
VMware Carbon Black XDRVMwares Carbon Black XDR finns inte helt tillgängligt när detta skrivs. Det tillkännagavs i november 2022 och befinner sig fortfarande i en testversion tillgänglig genom ett program för tidig tillgång. Om ryktet vore det enda att tänka på finns det ett starkt argument för Carbon Black. Men bortom det vet vi att det kommer dela underliggande komponenter såsom VMware Contexa – en tjänst för hotunderrättelser.
Lägg till detta alla integrationer i första ledet med andra medlemmar av VMwares produktkatalog, såsom plattformen för virtuella maskiner och VMware Workspace ONE-sviten med enhets- och identitetsverktyg, och Carbon Black XDR kommer bli ett förstahandsval för många stora företagskunder.
Elastic Security for XDRElastic är mest känt för sitt system för innehållsleverans för webb- och applikationsinnehåll, men likt Google hanterar Elastic stora mängder data och nätverkstrafik. Elastic Security for XDR är byggt för att du ska kunna dra nytta av existerande säkerhetsverktyg och för att bygga ut en fullödig XDR-plattform med hjälp av komponenter och förmågor ur Elastics produktkatalog.
Elastic erbjuder både SIEM- och SOAR-förmågor, liksom hotdetektering för både ändpunkter and arbetslaster i molnet, hotunderrättelser i realtid, och ett bibliotek med existerande hot och motåtgärder i form av Elastic Security Labs.
Trellix XDR PlatformDu må vara förlåten om du aldrig hört talas om Trellix, men det betyder inte att de är nya inom säkerhet. Trellix är resultatet av sammanslagningen av McAfee Enterprise och Fireeye i oktober 2021, som båda hade starka XDR-plattformar vid den tidpunkten.
Trellix XDR Platform har en funktionsuppsättning som kan konkurrera med vilket annat XDR som helst, som integrerar sig med de existerande säkerhetsverktyg du har på plats och förstärker dem genom att ta bort silos och manifestera hotdata till användbara händelser. Dessa är korrelerade och prioriterade för att ditt säkerhetsteam ska kunna anpassa sin försvarsstrategi på det sätt som krävs.
Cynet 360 AutoXDRCynets 360 AutoXDR-plattform rör vid alla nyckelelement inom XDR och gör så med en mångfald av prisnivåer och tillägg som kan möjliggöra för dig att växa in i plattformen. Centrala XDR-funktioner är för det mesta inkluderade i alla nivåer. De lägre nivåerna utelämnar funktioner som analys av användarbeteenden och automatiserad sanering, vilket reser frågor om både den utbyggda detekteringen och försvarsaspekten av XDR.
Cynet har en stark följarskara av användare som talar väl om både användbarheten och produktens förmågor, som parat med en uppsjö tjänstenivåer gör Cynet till ett intressant alternativ för blivande XDR-köpare.