Extended Detection and Response (XDR)

Einzelne Sicherheitswerkzeuge sehen jeweils nur ihren Ausschnitt: EDR die Endgeräte, NDR das Netzwerk. Ein Angreifer bewegt sich aber quer durch all diese Bereiche. XDR legt die Ausschnitte übereinander, sodass ein zusammenhängender Angriff als ein Vorgang sichtbar wird, statt als viele unverbundene Einzelmeldungen.

XDR sammelt Telemetrie aus den angebundenen Bereichen, normalisiert sie und korreliert sie über die Quellen hinweg. Dadurch lassen sich mehrstufige Angriffe erkennen, die ein einzelnes Werkzeug nur in Teilen sehen würde. Manche XDR-Ansätze sind auf das Ökosystem eines Herstellers beschränkt, andere offen für verschiedene Datenquellen.

XDR ist sinnvoll für Organisationen, die mehrere Erkennungsquellen unter einer Oberfläche bündeln wollen. Die Grenze: XDR ist nur so gut wie die angebundenen Quellen, und der Aufbau kann aufwendig sein. Für mittelständische Organisationen ohne eigenes Team ist häufig eine fokussierte Netzwerk-Sicht über NDR der pragmatischere Einstieg als eine vollständige XDR-Plattform.