Extended Detection and Response (XDR)

Vereinheitlichte Telemetrie, stark korrelierte Daten, rasche Reaktionen und mehr

Was ist XDR?

XDR steht für Extended Detection and Response oder Erweiterte Erkennung und Reaktion. Es handelt sich dabei um eine Cloud-native und hochgradig skalierbare Lösung, die mehrere Telemetriequellen vereint und transformiert, um eine umfassendere Erkennung von Bedrohungen und die Reaktion darauf zu beschleunigen. Forrester definiert XDR als "die Weiterentwicklung von Endpoint Detection and Response" (EDR).

Es ist unzweifelhaft, dass EDR proaktiver, umfassender und präskriptiver werden muss - schließlich gibt es keinen Perimeter mehr, und die Daten strömen in die und aus der Cloud. Die Chancen für Angreifer stehen besser denn je. XDR verspricht, Bedrohungen früher zu erkennen und schneller darauf reagieren bzw. Abhilfe schaffen zu können. Laut Gartner ist XDR ein "Erkennungs- und Incident-Response-Tool, das mehrere Sicherheitsprodukte in ein kohärentes Sicherheits-Betriebssystem integriert".

Und laut Enterprise Strategy Group (ESG) kann XDR "als Cybersecurity-Multiplikator fungieren und ist nicht nur das nächste Buzzword auf einschlägigen Sicherheitskonferenzen". Was XDR genau ist, bleibt dennoch umstritten: Ein Produkt? Eine Lösung? Eine Weiterentwicklung von Security Information and Event Management (SIEM)?

Im Moment ist es am hilfreichsten, es als einen sinnvollen Ansatz für eine effizientere, effektivere Erkennung und Reaktion zu betrachten.

Vorteile von XDR

Vereinheitlichte Telemetrie, bessere Detection & Response

XDR sollte die Telemetrie über Remote-Benutzer, Netzwerkdaten, Endpunkte und die Cloud vereinheitlichen - und was immer in der Zukunft kommen mag. Bei einem guten XDR-Ansatz können Analysten Bedrohungen automatisiert erkennen und umfassend untersuchen, und sie verfügen über detaillierte und stark korrelierte Informationen zu Bedrohungsereignissen. Zudem erhalten sie ebenfalls automatisierte Reaktionsempfehlungen. So können sie einfacher, intelligenter und schneller arbeiten und wissen stets, was als Nächstes zu tun ist.

Ein Schwerpunkt auf Effizienz

Der richtige XDR-Ansatz beendet das ständige Tab-Hopping, denn er stellt einen einzigen umfassenden Hub bereit, der uneingeschränkt technisch erweitert werden kann. Durch die SaaS-Implementierung wird eine Zusammenarbeit deutlich vereinfacht - ob innerhalb eines Büros oder weltweit. XDR sollte Sicherheitsteams zudem deutlich entlasten, indem es für sie das Parsing und die Analyse durchführt.

Mehr Signal, weniger Rauschen

In einem ausgereiften XDR entsteht ein drastisch anderes Signal-Rausch-Verhältnis. Die richtige Methodik, Threat Intelligence und Sorgfalt hinter der Erkennungsbibliothek bedeuten, dass Sie sich auf die automatisierten Erkennungen verlassen können, die out-of-the-box verfügbar sind. Und alle Ihre unterschiedlichen Daten sollten nach Benutzer, Anlage und Aktivität korreliert werden.

One-Click Automation

Laut Forrester sollte XDR präskriptive Reaktionsanleitungen enthalten, die mit nur einem Klick ausgeführt werden können. Geboten werden Ihnen z. B. vordefinierte Workflows für Vorgänge wie die Eindämmung von Bedrohungen an einem Endpunkt, die Sperrung von Benutzerkonten und die Integration in Ticketing-Systeme wie Jira und ServiceNow.

Die Unterschiede zwischen XDR und SIEM

Arbeitsaufwand

Herkömmliche SIEMs wurden konzipiert, um riesige Mengen von Protokolldaten aufzunehmen und Sicherheitsteams Analysemöglichkeiten zu geben. Allerdings bleibt es Ihnen überlassen, relevante Sicherheitstelemetrie zu aggregieren, Ergebnisse zu korrelieren, Bedrohungen zu validieren und zu beheben.

Wenn Sie einen XDR-Ansatz auf Basis eines Cloud-SIEM wählen, werden Ihrem SOC (Security Operations Center) die Analyse und Konfiguration abgenommen. Der Schwerpunkt liegt auf Effizienz und der Beschleunigung der Reaktion auf Vorfälle, um Platz in Ihrem Alltag zu schaffen.

Kuratiert von Experten

Ein herkömmliches SIEM überlässt Ihnen eine Menge Aufgaben. XDR entlastet ihre Teams, denn es beruht zwar im Wesentlichen auf SIEM und EDR, allerdings ergänzt durch eine Kuratierung durch Experten. Damit bietet XDR den Security-Teams native, relevante und verwertbare Telemetrie, zuverlässige Erkennungen und präskriptive Reaktionsanleitungen.

Umfassende Visibility

XDR sollte weit über die Verwaltung und Analyse von SIEM-Protokollen hinausgehen. Die digitale Transformation nimmt Fahrt auf. Daten fließen in Strömen in die Cloud. Ortsunabhängig zu arbeiten ist die neue Normalität und bringt neue Sicherheitsprobleme mit sich. Bedrohungen und Angriffe eskalieren, und es wird immer wichtiger, Einsicht in alle Datenströme zu haben.

Kontext is King

Dank des wachsenden Datenvolumens, das verwaltet und untersucht werden muss, bieten herkömmliche SIEM-Lösungen Analysten nicht den erforderlichen Kontext, um die wachsende Anzahl von Warnmeldungen priorisieren zu können. XDR trennt das Signal vom Rauschen, leitet Kontext ab und bringt im letzten Schritt auf rationalisierte Weise die Probleme hervor, auf die sofort reagiert werden muss.

XDR und SOAR?

Mit dem wachsenden Datenvolumen, das verwaltet werden muss, steigt auch die Zahl der zu untersuchenden Warnmeldungen. Herkömmliche SIEM-Lösungen bieten Analysten in der Regel nicht den Kontext, den sie benötigen, um diese Warnungen zu priorisieren. Hier nutzt XDR Praktiken von SOAR-Lösungen (Security Orchestration, Automation and Response), um die Unmengen falsch positiver Meldungen automatisiert zu beseitigen und die Qualität der eingehenden Warnmeldungen zu verbessern. XDR verfeinert und kanalisiert die effektivsten SIEM- und SOAR-Praktiken und legt dabei den Schwerpunkt auf fortschrittliche Telemetrie, damit Teams proaktiver als bei herkömmlichen reaktiven Workflows agieren können.

Die Unterschiede zwischen XDR und EDR

EDR ist ein entscheidender Faktor in der Methodik eines SOC - es hilft dabei, Endpunkte im gesamten Netzwerk zu sichern und gestohlene Anmeldeinformationen für Arbeitsstationen, seitliche Bewegungen von Bedrohungsakteuren und andere schwer fassbare Verhaltensweisen zu verhindern. Das Erfassen von relevantem Kontext für Warnungen ist das "Sahnehäubchen", das die Endpunktsicherheit erweitert, so dass Analysten und Experten schneller handeln können.

Vereinheitliche und priorisiere

Eine leistungsfähige IDR-Lösung (Incident Detection and Response) sollte in der Lage sein, diese erweiterte Endpunkttelemetrie zu nutzen, um eine sofortige Erkennung von Bedrohungen zu ermöglichen. Analysten können dann schneller handeln, da sie sich nicht durch Berge von Warnungen wühlen müssen, sondern schnell auf die Warnung mit der höchsten Priorität reagieren können.

XDR-Kontext + MDR-Dienste = erweiterter Schutz

XDR-Endpunktlösungen beschränken sich nicht nur auf die Erkennung von Bedrohungen. Mit Enhanced Endpoint Telemetry (EET) können Teams genau wissen, was eine bestimmte Erkennung ausgelöst hat. Sie erhalten spezifische Details darüber, was vor und nach dem Vorfall passiert ist. Durch das Hinzufügen des wichtigen "X" zu EDR profitieren die Teams auch vom File Integrity Monitoring (FIM), das einen zuverlässigeren Kontext zu den Nutzern und spezifischen Assets liefert, die von einer Erkennung betroffen sind.

Wenn ein SOC mit einem Anbieter von Managed Detection and Response (MDR) zusammenarbeitet, der sich mit XDR-Funktionen auskennt, kann das Team sicherstellen, dass es weiterhin innovativ arbeiten kann, um das Geschäft voranzutreiben, und gleichzeitig Warnmeldungen mit dem richtigen Kontext erhält, um Prioritäten zu setzen.

Durch das Hinzufügen von XDR-Funktionen müssen Sicherheitsteams nicht mehr zwischen verschiedenen Tools hin- und herspringen. Sie sind in der Lage, genau zu entschlüsseln, was ein Angriff und was ein normaler Befehl war, und große Effizienz bedeutet mehr Schutz.

XDR bewerten

Wenn Sie nach XDR suchen, sind Sie nicht allein: 83 % der Unternehmen erhöhen ihr Budget für die Bedrohungserkennung und -abwehr. 29 % geben zu, „blinde Flecken“ oder tote Winkel zu haben, 29 % müssen die Zeit bis zur Wiederherstellung verkürzen und 27 % brauchen Hilfe, wenn es um die Erkennung der Bedrohungen geht, die priorisiert werden sollten1.

Was ist in der Box?

Viele Anbieter von XDR-Lösungen gehen davon aus, dass Sie die vielen anderen Technologien integrieren (und bezahlen), die Sie für die vollständige Telemetrie und die größere Transparenz in Ihrer Umgebung brauchen. Endpunkt-Agenten. Netzwerksensoren. Cloud-Verbindungen. Benutzerverhaltensanalyse. Protokolleinspeisung.

Informieren Sie sich genau, was in den jeweiligen XDR-Lösungen enthalten ist, bevor Sie ein teures Erwachen riskieren.

Die Philosophie hinter der Erkennung

Die wesentliche Erwartung an XDR ist die Reduzierung der lärmenden Warnmeldungen, um weniger, dafür aber zuverlässige Erkennungen zu erhalten.

Stellen Sie Fragen zur Methodik, der Threat Intelligence und der Sorgfalt, die in der Bibliothek der Bedrohungen stecken. Befassen Sie sich mit der Philosophie und dem PoC des Anbieters. Lassen Sie sich Erkennung in der Praxis zeigen. Schließlich sollten Sie sich eine objektive Analyse oder Rezensionen von unabhängigen Experten ansehen, um mehr zu erfahren.

Nicht das „R“ in XDR vergessen

Finden Sie heraus, was automatisiert ist. Bekommen Analysten, was sie benötigen? Sind Anleitungen integriert? XDR soll die monotone und repetitive Arbeit beseitigen und Ihnen die interessante Arbeit überlassen, für die Sie ausgebildet wurden. Und idealerweise dafür sorgen, dass Sie pünktlich zum Abendessen zu Hause sind. Dabei helfen Ihnen auch externe, proaktive Bedrohungsdaten, die über den Perimeter hinausgehen.


1 Enterprise Strategy Group (ESG), Februar 2021

We love to give you options. 

This page is also available in English!

Switch to English Continue in German