XDR (Extended Detection and Response)

Eine neue Strategie für einheitliche Telemetrie, hochkorrelierte Daten und schnelle Maßnahmen

Was ist XDR?

Extended Detection and Response (XDR) beschleunigt eine umfassendere Threat Detection and Response. Diese Cloud-native, Cloud-skalierbare Sicherheitslösung kann mehrere Telemetriequellen vereinheitlichen und transformieren. Forrester definiert XDR als „die Weiterentwicklung von Endpoint Detection and Response“ (EDR).

Die Notwendigkeit, EDR proaktiver, umfassender und präskriptiver zu gestalten, lässt sich nicht umgehen: Es gibt keine Perimeter mehr, die Daten fließen in die Cloud, und die Wahrscheinlichkeit, dass die böswilligen Akteure zuschlagen, war noch nie so hoch.XDR verspricht, Bedrohungen früher zu erkennen und schneller darauf zu reagieren bzw. sie zu beheben.Laut Gartner ist XDR ein „Detection and Incident Response-Tool, das mehrere Sicherheitsprodukte nativ in ein einheitliches Sicherheitsbetriebssystem integriert“.

Und laut Enterprise Strategy Group (ESG) kann XDR-Security „als Multiplikator der Cybersecurity dienen, nicht nur als das nächste Trend-Thema bei RSA und Black Hat“. Es wird weiterhin lebhaft diskutiert, was unter XDR eigentlich zu verstehen ist: Ist es ein Produkt? Oder eine Lösung? Eine Weiterentwicklung des Security Information and Event Management (SIEM)?

Zunächst einmal scheint die Bezeichnung als Ansatz sinnvoll zu sein, mit dem eine effizientere und effektivere Erkennung und Abwehr erzielt wird.

Was sind die Vorteile von XDR?

Vereinheitlichte Telemetrie, bessere Detection & Response

XDR sollte die Telemetrie für Remote-Benutzer, Netzwerkdaten, Endpunkte, die Cloud und das, was als Nächstes den Markt bestimmen wird, vereinheitlichen. Bei einem guten XDR-Ansatz haben Analysten Detections, umfassende Untersuchungen, detaillierte, stark korrelierte Threat Events und automatisierte Reaktionsempfehlungen. Analysten können einfacher, intelligenter und schneller arbeiten und wissen immer, was als nächstes zu tun ist.

Ein Schwerpunkt auf Effizienz

Der richtige XDR-Ansatz ist das Ende des ständigen Tab-Hopping, denn er stellt einen einzigen umfassenden Hub bereit, der uneingeschränkt technisch erweitert werden kann. Durch die SaaS-Implementierung wird eine Zusammenarbeit im gesamten Büro oder auch weltweit möglich. XDR sollte auch Sicherheitsteams von hohen analytischen Anforderungen befreien, indem es Warnmeldungen für Sie analysiert.

High-Fidelity-Erkennungen

In einem ausgereiften XDR entsteht ein drastisch anderes Signal-Rauschen-Verhältnis. Die richtige Methodik, Threat Intelligence und mit großer Sorgfalt zusammengestellte Erkennungsbibliothek bedeuten für Sie, dass Sie standardmäßig den Out-of-the-Box Detections vertrauen können. Und all Ihre unterschiedlichen Daten sollten nach Benutzer, Asset und Aktivität korreliert werden.

Automatisierung mit einem Klick

Laut Forrester sollte XDR präskriptive Reaktionsanleitungen enthalten, die mit nur einem Klick ausgeführt werden können. Geboten werden Ihnen z.B. vordefinierte Workflows für Vorgänge wie die Maßnahmen gegen Bedrohungen an einem Endpunkt, die Sperrung von Benutzerkonten und die Integration in Ticketing-Systeme wie Jira und ServiceNow.

Was ist der Unterschied zwischen XDR und SIEM?

Arbeitsaufwand

Herkömmliche SIEMs wurden entwickelt, um riesige Mengen an Logdaten zu verarbeiten und Sicherheitsteams Analysefunktionen zu bieten. Von dort aus liegt es an Ihnen, relevante Sicherheitstelemetrie zu aggregieren, Ergebnisse zu korrelieren, Bedrohungen zu validieren und zu beheben.

Wenn Sie einen XDR-Ansatz mit Cloud-SIEM im Zentrum wählen, werden Ihnen die Analyse und Konfiguration abgenommen. Der Schwerpunkt liegt auf Effizienz und der Beschleunigung der Incident Response.

Kuratiert von Experten

Ein herkömmliches SIEM überlässt Ihnen eine Menge Aufgaben. Allerdings, XDR = SIEM + EDR, alles kuratiert. Das bedeutet, dass Teams über systemeigene, relevante und umsetzbare Telemetrie, detailgetreue Erkennungen und Playbooks mit präskriptiven Reaktionen verfügen.

Umfassende Visibility

XDR sollte weit über die Verwaltung und Analyse von SIEM-Logs hinausgehen. Die digitale Transformation nimmt Fahrt auf. Ortsunabhängig zu arbeiten ist die neue Normalität. Echte XDR-Plattformen begegnen diesen neuen Sicherheitsherausforderungen, indem sie Bedrohungen aus einer Reihe von Telemetriequellen und Bedrohungs-Feeds identifizieren.

Wie unterscheidet sich XDR von SOAR?

Mit einem wachsenden Datenvolumen, das verwaltet werden muss, kommt eine wachsende Anzahl von Alerts, die untersucht werden müssen. Herkömmliche SIEM-Lösungen bieten Analysten in der Regel nicht den Kontext, den sie benötigen, um diese Warnungen zu priorisieren. Hier glänzt XDR. XDR nutzt die Praktiken von SOAR-Lösungen (Security Orchestration, Automation and Response), um die Unmengen falsch positiver Meldungen automatisiert auszusortieren und die Qualität der eingehenden Alerts zu verbessern. XDR verfeinert und kanalisiert die effektivsten SIEM- und SOAR-Praktiken und legt dabei den Schwerpunkt auf fortschrittliche Telemetrie, damit Teams proaktiver als bei herkömmlichen reaktiven Workflows agieren können.

Was ist der Unterschied zwischen XDR und EDR?

EDR ist ein entscheidender Faktor in der Methodik eines SOC — es hilft dabei, Endpunkte im gesamten Netzwerk zu sichern und gestohlene Anmeldeinformationen für Arbeitsstationen, seitliche Bewegungen von Bedrohungsakteuren und andere schwer fassbare Verhaltensweisen zu verhindern. Das Erfassen von relevantem Kontext für Warnungen ist das "Sahnehäubchen", das die Endpunktsicherheit erweitert, so dass Analysten und Experten schneller handeln können.

Vereinheitliche und priorisiere

Eine leistungsfähige IDR-Lösung (Incident Detection and Response) sollte in der Lage sein, diese erweiterte Endpunkttelemetrie zu nutzen, um eine sofortige Erkennung von Bedrohungen zu ermöglichen. Analysten können dann schneller handeln, da sie sich nicht durch Berge von Warnungen wühlen müssen, sondern schnell auf die Warnung mit der höchsten Priorität reagieren können.

XDR-Kontext + MDR-Dienste = erweiterter Schutz

XDR-Endpunktlösungen beschränken sich nicht nur auf die Erkennung von Bedrohungen. Enhanced Endpoint Telemetry (EET) ermöglicht es Teams, genau zu wissen, was eine bestimmte Erkennung ausgelöst hat. Sie erhalten spezifische Details darüber, was vor und nach dem Vorfall passiert ist. Durch das Hinzufügen des wichtigen "X" zu EDR profitieren die Teams auch vom File Integrity Monitoring (FIM), das einen zuverlässigeren Kontext zu den Nutzern und spezifischen Assets liefert, die von einer Erkennung betroffen sind.

Wenn ein SOC mit einem Anbieter von Managed Detection and Response (MDR) zusammenarbeitet, der sich mit XDR-Funktionen auskennt, kann das Team sicherstellen, dass es weiterhin innovativ arbeiten kann, um das Geschäft voranzutreiben, und gleichzeitig Warnmeldungen mit dem richtigen Kontext erhält, um Prioritäten zu setzen.

Durch das Hinzufügen von XDR-Funktionen müssen Sicherheitsteams nicht mehr zwischen verschiedenen Tools hin- und herspringen. Sie sind in der Lage, genau zu entschlüsseln, was ein Angriff und was ein normaler Befehl war, und große Effizienz bedeutet mehr Schutz.

Wie bewertet man eine XDR-Plattform?

Wenn Sie nach einer XDR-Lösung suchen, sind Sie nicht allein: 83 % der Unternehmen erhöhen ihr Budget für die Bedrohungserkennung und -abwehr. 29 % geben zu, tote Winkel zu haben, 29 % müssen die Zeit bis zur Wiederherstellung verkürzen und 27 % brauchen Hilfe, wenn es um die Erkennung der Bedrohungen geht, die priorisiert werden sollten.2

Fragen Sie zunächst, was im Lieferumfang enthalten ist.

Viele Anbieter von XDR-Lösungen gehen davon aus, dass Sie die vielen anderen Technologien integrieren (und bezahlen), die Sie für die vollständige Telemetrie und die größere Transparenz in Ihrer Umgebung brauchen: Endpunkt-Agenten, Netzwerksensoren, Cloud-Verbindungen, User Behavior Analytics (UBA) und Log-Ingestion.

Informieren Sie sich genau, was in den jeweiligen XDR-Lösungen enthalten ist.

Als Nächstes sollten Sie die Philosophie hinter der Erkennung verstehen.

Also, was ist eines der am meisten erwarteten Ergebnisse von XDR? Das ständige Rauschen von Alerts zu beenden und High-Fidelity-Erkennungen zu liefern.

Stellen Sie Fragen zur Methodik, der Threat Intelligence und der Sorgfalt, die in der Bibliothek der Bedrohungen stecken. Befassen Sie sich mit der Philosophie und dem Proof-of-Concept des Anbieters. Lassen Sie sich Erkennung in der Praxis zeigen. Schließlich sollten Sie sich eine objektive Analyse oder Rezensionen von unabhängigen Experten ansehen, um mehr zu erfahren.

Nicht das „R“ in XDR vergessen

Finden Sie heraus, was automatisiert ist. Bekommen Analysten, was sie benötigen? Sind Anleitungen integriert? XDR soll die monotone und repetitive Arbeit beseitigen und Ihnen die interessante Arbeit überlassen, für die Sie ausgebildet wurden. Und idealerweise dafür sorgen, dass Sie pünktlich zum Abendessen zu Hause sind. Dabei helfen Ihnen auch externe, proaktive Threat Intelligence, die über den Perimeter hinausgehen.


1 Enterprise Strategy Group (ESG), Februar 2021

We love to give you options. 

This page is also available in English!

Switch to English