Extended Detection and Response (XDR)

Vereinheitlichte Telemetrie, stark korrelierte Daten, rasche Reaktionen und mehr

Was ist XDR?

Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist eine cloudnative, cloudbasierte Lösung, die mehrere Sicherheitstelemetriequellen vereint und transformiert, um eine umfassendere Erkennung und Reaktion auf Bedrohungen zu beschleunigen.

Forrester definiert XDR als „Weiterentwicklung von EDR“ (Erkennung und Reaktion an den Endpunkten). Die Notwendigkeit, EDR proaktiver, umfassender und präskriptiver zu gestalten, lässt sich nicht umgehen: Es gibt keine Perimeter mehr, die Daten fließen in die Cloud, und die Wahrscheinlichkeit, dass die böswilligen Akteure zuschlagen, war noch nie so hoch. XDR verspricht, Bedrohungen früher zu erkennen und schneller darauf zu reagieren bzw. sie zu beheben.

Gartner sagt aus, XDR sei ein „Tool zur Erkennung und zum Incident Response, das mehrere Sicherheitsprodukte nativ zu einem zusammenhängenden Sicherheitsbetriebssystem integriert.“

Laut der Enterprise Strategy Group (ESG) kann „XDR als Multiplikator der Cybersicherheitsteams fungieren und ist viel mehr als nur das nächste Schlagwort bei RSA und Black Hat“.

Es wird weiterhin lebhaft diskutiert, was unter XDR eigentlich zu verstehen ist: Ist es ein Produkt? Eine Lösung? Eine Weiterentwicklung von SIEM (Sicherheitsinformations- und -ereignismanagement)?

Zunächst einmal scheint die Bezeichnung als Ansatz sinnvoll zu sein, mit dem eine effizientere und effektivere Erkennung und Reaktion erzielt wird.

Vorteile von XDR

Vereinheitlichte Telemetrie, bessere D&R

XDR sollte die Telemetrie für Remote-Benutzer, Netzwerkdaten, Endpunkte, die Cloud und das, was als Nächstes den Markt bestimmen wird, vereinheitlichen. Bei einem guten XDR-Ansatz haben Analysten Erkennungen, umfassende Untersuchungen, detaillierte, stark korrelierte Bedrohungsereignisse und automatisierte Reaktionsempfehlungen. So können sie einfacher, intelligenter und schneller arbeiten und wissen stets, was als Nächstes zu tun ist.

Ein Schwerpunkt auf Effizienz

Der richtige XDR-Ansatz ist das Ende des ständigen Tab-Hopping, denn er stellt einen einzigen umfassenden Hub bereit, der uneingeschränkt technisch erweitert werden kann. Durch die SaaS-Implementierung wird eine Zusammenarbeit im gesamten Büro oder auch weltweit möglich. XDR sollte auch Sicherheitsteams von hohen analytischen Anforderungen befreien, indem es für Sie das Parsing und die Analyse durchführt.

Zuverlässige Erkennungen

In einem ausgereiften XDR entsteht ein drastisch anderes Signal-Rauschen-Verhältnis. Die richtige Methodik, Bedrohungsaufklärung und Sorgfalt, die in der Erkennungsbibliothek stecken, bedeuten für Sie, dass Sie standardmäßig der Erkennung vertrauen können. Und alle Ihre unterschiedlichen Daten sollten nach Benutzern, Assets und Aktivitäten korreliert werden.

One-Click Automation

Laut Forrester sollte XDR präskriptive Reaktionsanleitungen enthalten, die mit nur einem Klick ausgeführt werden können. Geboten werden Ihnen z. B. vordefinierte Workflows für Vorgänge wie die Eindämmung von Bedrohungen an einem Endpunkt, die Sperrung von Benutzerkonten und die Integration in Ticketing-Systeme wie Jira und ServiceNow.

XDR und SIEM vergleichen

Arbeitsaufwand

Herkömmliche SIEMs wurden konzipiert, um riesige Mengen von Protokolldaten aufzunehmen und Sicherheitsteams Analysemöglichkeiten zu geben. Ab dem Punkt ist es Ihnen überlassen, relevante Sicherheitstelemetrie zu aggregieren, Ergebnisse zu korrelieren, Bedrohungen zu validieren und zu beheben.

Wenn Sie einen XDR-Ansatz mit Cloud-SIEM im Zentrum wählen, werden Ihnen die Analyse und Konfiguration abgenommen. Der Schwerpunkt liegt auf Effizienz und der Beschleunigung der Reaktion auf Vorfälle, um Platz in Ihrem Alltag schaffen.

Kuratiert von Experten

Ein herkömmliches SIEM überlässt Ihnen eine Menge Aufgaben.

XDR beruht im Wesentlichen auf SIEM und EDR mit Kuratierung: Es vermittelt Teams native, relevante und verwertbare Telemetrie, zuverlässige Erkennungen und präskriptive Reaktionsanleitungen.

Breites Sichtfeld

XDR sollte weit über die Verwaltung und Analyse von SIEM-Protokollen hinausgehen, um Bedrohungen aus einer Reihe von Telemetriequellen und Bedrohungsfeeds zu identifizieren.

Die digitale Transformation nimmt Fahrt auf. Daten fließen in Strömen in die Cloud. „Ortsunabhängig arbeiten“ ist die neue Normalität und bringt neue Sicherheitsprobleme mit sich. Bedrohungen und Angriffe eskalieren.

Signal-Rauschen

Dank des wachsenden Datenvolumens, das verwaltet und untersucht werden muss, bieten herkömmliche SIEM-Lösungen Analysten nicht den erforderlichen Kontext, um die wachsende Anzahl von Warnmeldungen priorisieren zu können. XDR trennt das Signal vom Rauschen, leitet Kontext ab und bringt im letzten Schritt auf rationalisierte Weise die Probleme hervor, auf die sofort reagiert werden muss.

XDR bewerten

Wenn Sie nach XDR suchen, sind Sie nicht allein: 83 % der Unternehmen erhöhen ihr Budget für die Bedrohungserkennung und -abwehr. 29 % geben zu, „blinde Flecken“ oder tote Winkel zu haben, 29 % müssen die Zeit bis zur Wiederherstellung verkürzen und 27 % brauchen Hilfe, wenn es um die Erkennung der Bedrohungen geht, die priorisiert werden sollten1.

Fragen Sie zunächst, was im Lieferumfang enthalten ist.

Viele Anbieter, die XDR-Ergebnisse versprechen, gehen davon aus, dass Sie die vielen anderen Technologien integrieren (und bezahlen), die Sie für die vollständige Telemetrie und die größere Transparenz in Ihrer Umgebung brauchen. Endpunkt-Agenten. Netzwerksensoren. Cloud-Verbindungen. Benutzerverhaltensanalyse. Protokolleinspeisung.

Es ist wichtig, dass Sie wissen, was enthalten ist, und was Sie möglicherweise selber dazu beisteuern müssen.

Als Nächstes sollten Sie die Philosophie hinter der Erkennung verstehen.

Eines der am stärksten erwarteten Ergebnisse von XDR ist die Aussicht, die lärmenden Warnmeldungen zu beenden und zuverlässige Erkennungen zu erhalten.

Stellen Sie Fragen zur Methodik, den Bedrohungsdaten und der Sorgfalt, die in der Bibliothek der Bedrohungserkennung stecken. Befassen Sie sich mit der Philosophie und den Nachweisen. Lassen Sie sich Erkennung in der Praxis zeigen. Schließlich sollten Sie sich eine objektive Analyse oder Rezensionen von Drittanbietern ansehen, um mehr zu erfahren.

Nicht das „R“ in XDR vergessen

Finden Sie heraus, was automatisiert ist. Sind Analysten gut auf den Alltag vorbereitet? Wurden die Anleitungen integriert? XDR soll die monotone, sich ständig wiederholende Arbeit beseitigen und Ihnen die interessante Arbeit überlassen, für die Sie ausgebildet wurden, und dafür sorgen, dass Sie pünktlich zum Abendessen zu Hause sind.


1 Enterprise Strategy Group (ESG), Februar 2021

We love to give you options. 

This page is also available in English!

Switch to English Continue in German