標籤: 企業資安

作者：Greg Young (趨勢科技網路資安副總裁)

在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說，作者 Jon Clay 認為 EDR 固然很棒，但若有辦法加入端點以外的資訊來源，那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。

這就是XDR與 EDR 截然不同之處。

聽到這裡，很多人的第一個反應可能是：「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像，因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異，以及為何這些差異會帶來巨大、真實且實際的影響。

我們先從 SIEM 來看。很多人都會苛責 SIEM，但考慮到人們對它的要求，其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起，然後試圖從中發掘資安線索，進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣，但卻深度不足。它的資訊來源很多，但蒐集的資訊卻很有限。

SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時，SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是，SIEM 並未內建回應機制，它只是一項偵測工具，如同一個未與自動灑水器相連的消防警報器。不過，SIEM 可涵蓋的產品與廠牌非常廣泛，因此 SIEM 不管在當下或未來都其自己的價值定位，無法被 XDR 所取代。其實，SIEM 若能搭配 XDR 來運用，會更彰顯其價值。

下圖是我心目中的 SIEM：

繼續閱讀