托管扩展检测和响应(MXDR)是一种托管服务,通常由 网络安全 服务提供商. 客户可以雇佣一个托管的XDR提供商来监控来自多个来源的遥测数据——特别是在网络之外 端点 -在客户端生态系统中,可能包含许多第三方事件源, 每个都在客户的环境中具有特定的功能.
MXDR提供程序将检测, 伤检分类, 并在第三方生态系统中调查潜在的威胁遥测,努力在恶意行为对安全组织及其所保护的业务造成真正伤害之前阻止恶意行为. MXDR是a的加法 管理检测和响应(耐多药) 解决方案,因为它扩展了耐多药提供商的覆盖范围和保护能力.
根据企业战略集团(ESG), XDR 安全能力“可以作为网络安全力量的倍增器.“XDR向托管服务的演变相对较新, 但是对于缺乏员工数量或适当的安全技能的组织来说,潜在的好处是很多的.
MXDR安全提供程序和耐多药安全提供程序之间的主要区别在于MXDR扩展了分析功能, 验证, 并根据整个网络和系统的安全遥测采取行动, 设备, 它还包括云应用程序.
而耐多药服务确实侧重于保护网络, 它们倾向于对存在于该网络上的单个端点的生态系统的威胁进行局部检测和遏制, 并且通常无法分析和合成MXDR提供商可以接受的全部遥测源.
托管扩展检测和响应实际上是托管端点检测和响应(MEDR)和纯端点的融合 托管安全服务提供商(mssp) 即着重于基础的网络监控和管理. 让我们看一下MXDR提供程序应该提供的一些关键特性和功能.
XDR集成了来自现代环境的遥测技术,以帮助分析人员更好地了解各种事件之间的联系,以及何时某些行为被警告为潜在的可疑行为. 团队获得正确的数据,使他们自信、高效和有效 威胁检测 和响应.
成功地进行调查, 了解事件发生的背景是很重要的. XDR技术加速了服务提供商代表其客户正确响应威胁和攻击的能力.
提供商可以消除上下文切换,并确保团队拥有高上下文和相关的调查细节,将多个事件源的相关数据融合到一个信息丰富的图片中.
安全自动化 减少重复的手工工作. 这使供应商能够专注于对客户组织最重要的事情, 因为它们利用了自动化特性, 用于包含端点威胁的预构建工作流, 暂停用户帐户, 并与票务系统集成.
仪表板和报告将事件数据转化为有用的视觉效果,以帮助识别未形成标准模式的活动. 这种对环境的可视化概述提供了对关键细节的洞察,以及做出可行决策所需的数据.
大量的警报永远不会成为引人注目的威胁. 自动化可以帮助筛选、分析和优先考虑真正需要分析师关注的警报. 寻找强信噪比,以及量化和评分的安全警报.
当然, 拥有任何类型的托管服务都有好处, 因为别人为你做某事的基本意思是你不必做这件事. 然而, 当我们开始分析耐多药与MXDR中更现代的方法的好处时, 有一些清晰的, a的最新结果和益处 安全运营中心(SOC).
添加第三方事件源的覆盖率消除了分析人员在技术环境中转来转去并手动规范化信息的需要, 节省时间,提高团队效率.
安全团队已经使用了很多孤立的安全工具. 通过依赖MXDR提供程序来摄取顶级第三方事件源, SOC可以自信地降低噪音并简化响应,从而提高对环境的可视性.
MXDR事件响应团队手头的信息越多, 他们就能越快地响应威胁并从客户环境中消除威胁. 客户环境的扩展覆盖范围增强了服务提供商可用的数据量-具有关键端点, 网络, 身份, 云信息.
如果有人对网络安全知之甚少, 他们可能会认为这只是一个简单的首字母缩略词. XDR本身是一个相对较新的网络安全领域, 因此,当托管服务提供商声称将XDR作为服务提供时, 它有助于了解XDR本身的主要要点.
正确的XDR方法是结束跳转选项卡. 它提供了一个单一的、全面的中心,可以在没有技术限制的情况下进行扩展. 期望SaaS交付能够促进跨办公室或世界各地的协作. 有效的XDR解决方案还应该减轻安全团队的分析需求, 为他们解析和分析警报.
成熟的XDR具有显著不同的信噪比. 正确的方法, 威胁情报, 检测库背后的勤奋意味着客户可能会信任开箱即用的检测, 所有不同的数据通常由用户关联, 网络资产, 和活动.
Forrester表示,XDR应该包括一键执行的规范响应网络安全剧本. MXDR客户应该期待为端点威胁遏制等事情预构建工作流, 用户帐户暂停, 以及与Jira和ServiceNow等票务系统的集成.
如果MXDR提供商可以在扩展的检测和响应解决方案中提供这些功能, 他们可能会通过精心策划和可操作的遥测以及利用主动智能来更早地检测威胁,从而更快地消除威胁.