EDR, MDR and XDR – 到底那裡不一樣?

作者 : 精誠軟體服務葉文和

可能很多朋友跟我一樣 , 老是被資安名詞搞的亂七八糟 , 尤其是一堆很接近的名詞! 所以接下來我們來看看這三個名詞EDR , MDR , XDR到底那裡不一樣?

1.EDR (ENDPOINT DETECTION AND RESPONSE)

‎EDR 超越了傳統的防病毒解決方案，專注於組織端點上的檢測和回應。‎

‎通常，惡意行為者需要破壞桌上型電腦、筆記型電腦、智慧手機、伺服器或其他端點，以便在目標網路上建立立足點，並且他們需要額外的端點來橫向移動和/或竊取資訊。‎‎為了防禦這些惡意活動，EDR 會優先考慮每個端點上的持續監控和威脅檢測以及自動威脅回應。‎‎‎

‎Endpoint detection and response (EDR) ‎是一種網路安全解決方案，可捕獲所有端點活動並利用高級分析來提供對所有端點運行狀況的即時可見性;檢測異常活動;提醒資訊安全（資訊安全）團隊注意事件;並提供補救建議和功能，以回應、阻止正在進行的攻擊或限制其傳播。‎

‎終結點檢測和回應解決方案具有以下功能：‎

‎1.端點監控和事件記錄‎

‎2.數據搜索、調查和威脅搜尋‎

‎3.警報會審或可疑活動驗證‎

‎4.可疑活動檢測‎

‎5.數據分析‎

‎6.支援回應的可操作情報‎‎修復‎

2.MDR (MANAGED DETECTION AND RESPONSE

‎以‎‎託管檢測和回應（MDR）‎‎ 為例，它為客戶提供 24x7 全天候監控和基於智慧的檢測功能作為服務。該模型利用在安全運營中心（SOC）工作的外部團隊以及尖端的威脅情報來擴大內部資訊安全人員的工作。‎‎從某種意義上說，MDR 與託管安全服務提供者（MSSP）產品非常相似，因為它將安全監控和回應外包給第三方，但在某些情況下還包括檢測和事件回應以及主動威脅搜尋。‎

‎

‎Managed detection and response (MDR) ‎是端點安全“即服務”。此服務管理組織的端點安全技術，其中包括 EDR。服務能力通常包括：‎

‎1.持續監控‎

‎2.威脅搜尋‎

‎3.威脅和警報的優先順序‎

‎4.託管調查服務‎

‎5.引導式回應‎

‎6.託管修復‎

‎MDR 的主要優點是有助於快速識別和限制威脅的影響，而無需額外的人員配備。鑒於全球高技能網路安全專業人員的短缺以及相關的技能差距，這一點尤其重要，特別是因為它與基於雲的系統和資產的保護有關。‎

3.XDR (EXTENDED DETECTION AND RESPONSE)

‎擴充偵測和回應（XDR）‎ ‎簡化組織整個安全堆疊中的安全數據攝取、分析和工作流，增強對隱藏和高級安全威脅的可見性，並統一回應。‎

‎XDR 平臺從整個基礎架構中收集和關聯數據，從而提高整個企業的威脅可見性，加速安全運營並降低風險。XDR 可分析這些數據，確定其優先順序並對其進行簡化，因此可以通過單個整合的控制台以規範化格式將其交付給安全團隊。‎

‎XDR 平臺通常提供以下功能：‎

‎1.多樣化的多域安全遙測‎

‎2.以威脅為中心的事件分析‎

‎3.威脅檢測和數據保真度的優先順序‎

‎4.跨多域遙測的數據搜索、調查和威脅搜尋‎

‎5.緩解和修復威脅的回應‎

‎為什麼組織需要XDR?

‎以前的威脅檢測解決方案的作法是一次專注於一層安全體系結構。例如，EDR 解決方案監視終結點，而網路流量分析解決方案專用於網路流量。來自這些工具的數據很少集成或統一，阻礙了組織在整個企業中擁有完整而準確的可見性。‎

‎購買多個單獨的安全產品來構建多層的安全體系結構的組織可能會在無意中創建一個複雜的安全堆疊，該堆疊在沒有適當上下連動的情況下提供許多警報。隨著更多工具的參與，進行調查變得更加困難，這就是為什麼識別違規行為所需的時間長度隨著多層安全模型的採用而增加的原因之一。‎

‎此外，依賴單獨的安全工具通常會在安全體系結構中產生孤島和差距。安全孤島越複雜，就越有可能產生安全漏洞，直到出現漏洞時才被重視。‎

‎XDR 解決了這些問題以及通常與多層防禦策略相關的其他問題。XDR 協調並擴展了孤立安全工具的價值，將安全分析、調查和修復統一併簡化到一個整合的控制台中。因此，XDR顯著提高了威脅可見性，加快了安全運營，降低了總體擁有成本（TCO），並減輕了始終存在的安全人員配備負擔。‎

‎EDR vs. XDR vs. MDR‎

‎EDR‎‎ 是端點的基準線監控和威脅檢測工具，也是每個網路安全策略的基礎。此解決方案依靠安裝在端點上的軟體代理或感測器來捕獲數據，並將其發送到集中式存儲庫進行分析。‎

‎MDR‎‎ 本質上是提供資安服務方式購買的 EDR。此服務管理端點安全，並專注於通過經驗豐富的專業安全團隊來緩解、消除和修復威脅。‎

‎XDR‎‎ 擴展了 EDR 功能，以保護的不僅僅是端點。XDR解決方案可「擴展」整個基礎架構，簡化組織整個安全堆疊中的安全數據攝取、分析和工作流，從而增強對隱藏和高級威脅的可見性，並統一回應。作為託管解決方案購買時，XDR 還將提供對威脅搜尋、‎‎威脅情報‎‎和分析方面經驗豐富的專家的訪問。‎

EDR MDR XDR 主要功能監視終結點是否存在繞過防病毒解決方案和其他預防性技術的威脅。‎

EDR“ as Service

‎ ‎

‎提供與 EDR 相同的功能，以及 24/7 全天候託管服務，以監視、緩解、消除和修復威脅。‎

以威脅為中心的全方位安全解決方案，集成了來自各種現有安全工具的數據，以提高可見性並降低風險。