11个顶级XDR工具点评
XDR是一种新兴的热门安全工具,整合了安全事件管理(SIEM)、端点检测和响应(EDR)甚至安全编排和响应(SOAR)等最强大的安全功能。
XDR系统的主要“燃料”来自SIEM,后者为XDR系统提供了来自整个企业网络的大量事件数据。在工作站和服务器上运行的EDR组件进一步增强了XDR的安全数据,甚至可以监测在云运行时(如无服务器功能或容器)中运行的工作负载。XDR系统不仅从从企业内部收集数据,还会将其与外部数据源的遥测数据进行比较。通过使用机器学习工具对这些海量数据进行分析,企业可以主动识别网络中的各种威胁和攻击。
除了早期识别攻击外,XDR系统还有助于威胁搜寻、归因分析和事件响应。事件会自动与上下文(如用户或系统)相关联,以跟踪恶意活动的路径以及提升权限或配置更改等操作。
XDR提供高度可见性,用户无需手动查看、编译事件日志或跟踪配置更改,并自动执行初始修复流程:例如禁用帐户、将电子邮件标记为垃圾邮件,甚至将IP地址列入黑名单。此类自动化工作有助于争取时间制定响应计划,以完全修复和重新保护基础架构。
如何评估XDR工具
对于规模较大的企业安全系统来说,价格始终是一个关键因素,XDR系统也不例外。XDR几乎都采用订阅模式,这意味着企业每月或每年支付费用。与许多安全工具一样,XDR的成本取决于企业面临的数据丢失导致的财务风险和业务影响,以及使用现有系统并手动执行事件数据关联所需的人力成本。
企业用户需要重点关注的关键XDR功能包括与现有硬件、软件和云投资的集成,这可能会影响所选平台的有效性以及解决方案初始实施所涉及的成本和工作量。XDR管理策略和规则的能力对于企业调整XDR功能满足业务需求,高效响应事件也至关重要。最后,易用性和培训(基于供应商或社区)对于快速增加和维持您对XDR平台的投资也非常重要。
11个顶级XDR工具点评
以下是CSOonline对全球较为知名的11个XDR工具的点评,排名不分先后:
趋势科技Vision One
趋势科技的Vision One是市场上口碑不错的一款XDR产品。Vision One提供全面的XDR功能,包括从各种输入中摄取数据的能力以及使用EDR保护端点的能力。Vision One还支持主动识别公司网络边界内的漏洞以及任何公开可见的漏洞。提供可自定义的工作流、安全预案,甚至在隔离的沙盒环境中执行分析的能力,也可以进行自动化增强修复。
微软XDR
微软是通过组合不同服务来实现类似XDR功能的供应商之一,其XDR工具整合了三个产品:Microsoft Sentinel,Microsoft 365 Defender和Microsoft Defender for Cloud。Defender品牌下的服务分别保护面向客户的资源(终结点、应用和电子邮件)和云服务(数据库、存储、服务器VM、容器等),而Sentinel则提供强大的SIEM基础,查看上下文警报并采取行动、搜寻威胁和启动调查。
微软XDR的一个明显优势是其云平台(如Office 365和Azure)之间的固有集成,但真正的价值在于微软为其所有客户提供类似的事件数据,使机器学习功能更容易识别公司资源中的异常行为。微软还通过Sentinel实现了自动化功能,包括通过逻辑应用将连接器引入第一方或第三方服务,或者通过电子邮件发送通知或在Microsoft Teams中发送通知。
派拓网络Cortex XDR
派拓网络(Palo Alto Networks)的Cortex XDR可与企业的网络设备、端点和云基础架构集成,以识别和阻止攻击。Cortex利用行为分析和机器学习来检测攻击,以高效、有组织的方式聚合警报。派拓网络认为其Cortex XDR代理是一个独特优势,整合了恶意软件检测,基于主机的防火墙,磁盘加密和基于策略的USB设备管理。通过自动化归因分析和攻击序列报告来支持事件分类和调查流程。此外,还会生成事件报告,其中包含攻击媒介、范围和影响的详细解析。
CrowdStrike的Falcon Insight
CrowdStrike宣称自己的XDR产品Falcon Insight是企业保护关键基础设施的核心,能够消除孤立的安全工具并实现跨安全域的聚合视图。Falcon Insight从不同的、互不关联的系统中收集事件数据,并聚合、规范化和应用上下文以生成增强的数据集。然后分析这些丰富的事件数据以发现威胁或主动攻击,并利用机器学习来检测不断发展的攻击技术。最后,Falcon Insight使安全专业人员能够通过手动或通过自动化工作流程启动响应操作来立即阻止主动攻击,提高事件响应能力。
Bitdefender GravityZone Business Security Enterprise
Bitdefender的反恶意软件工具长期以来一直受到IT专业人士的推崇,因此其GravityZone XDR产品提供端点检测功能也就不足为奇了。除了端点安全功能之外,GravityZone还监控网络设备、服务器和各种云运行时,例如基于容器的应用程序、Office 365、Azure AD和AWS。GravityZone的分析从传感器开始,应用早期上下文,BitDefender安全分析平台还为云端应用提供额外的数据细化和规范化功能。GravityZone提供了不同的方法来可视化事件,包括时间线视图和事件顾问。最后,GravityZone提供一组调查和响应工具,支持用户修复特定端点、在远程shell中进行交互或收集数字取证。
SentinelOne Singularity XDR
SentinelOne的XDR工具——Singularity平台弥合了云、端点和身份之间的差距,以提供跨域和技术堆栈的全面、统一的可见性。Singularity的跨域从数据收集和分析开始,构建上下文,并持续到修复,使用户能够采取适当的措施及时解决威胁。SentinelOne的XDR工具还通过Singularity市场实现了与大量第三方工具和服务的紧密集成,该市场为Splunk、Okta、Microsoft、AWS、IBM Security、ServiceNow等提供了精选连接器。在整个过程中利用Singularity的故事线技术来构建丰富,可操作的最终产品,指导用户完成事件响应阶段。
Cybereason XDR
Cybereason选择在Google Chronicle之上开发其XDR工具,这是一个基于谷歌云的SIEM和SOAR平台。使用谷歌作为基础设施的优势在于谷歌在数据、分析和相关性方面的一枝独秀的表现。Cybereason在其XDR中将其EDR和云工作负载保护作为第一响应者,分别提供对用户和应用程序活动的早期分析,识别关键遥测并将其传递给Google Chronicle。Cybereason的MalOp检测引擎获取威胁数据并将其关联到可视化的时间线中,显示攻击路径的完整视图,使安全团队能够做出相应的响应。
VMware Carbon Black XDR
在撰写本文时,VMware的Carbon Black XDR尚未完全就续。该产品于2022年11月发布,但目前仍处于用户预览阶段。据悉,该产品将共享VMware Contexa威胁情报服务等底层组件,还整合了VMware产品家族的其他成员(如虚拟机平台和VMware Workspace ONE设备和身份工具套件),Carbon Black XDR有望成为许多企业客户的首选。
Elastic Security for XDR
Elastic以其Web和应用程序内容交付系统而闻名,但与Google一样,其核心业务是处理大量数据和网络流量。Elastic Security的XDR(开发)工具旨在让用户能够利用现有的安全工具,或使用Elastic产品目录中的组件和功能开发完整的XDR平台。Elastic提供SIEM和SOAR功能,以及针对端点和云工作负载的威胁检测、实时威胁情报以及Elastic安全实验室的现有威胁和缓解措施库。
Trellix XDR平台
Trellix是McAfee Enterprise于2021年10月与FireEye合并的产物,两家企业都拥有强大的XDR平台。Trellix XDR平台提供能与任何其他XDR产品匹敌的功能,可与企业现有的现有安全工具集成,并通过消除孤岛,将威胁数据展现为可操作事件,以及相互关联和优先排序,帮助安全团队根据需要定制其响应策略。
Cynet 360 AutoXDR
Cynet的360 AutoXDR平台提供XDR的所有关键功能,并提供多种定价和产品分级选项。其核心XDR功能包括在大多数产品选项中,但低端产品缺少了用户行为分析和自动修复等功能,影响了XDR的扩展检测和响应能力。Cynet拥有很多强力用户,从侧面证明了其产品的可用性和功能,再加上提供多种定价和服务水平,使其成为潜在XDR买家的不错选择。