[[407970]]

近年來，許多組織在EDR產品上的成功可能恰恰加速了這項技術的終結。

XDR的出現將EDR推到了風口浪尖。比如，Forrester將XDR的快速出現視為企業減緩云端威脅的手段之一。而Gartner，則把XDR工具和機器學習，以及自動化能力，認為是改進威脅檢測準確率和安全生產效率的關鍵，尤其是在SOC環境中。在近日的一項調研中，ESG發現大約有70%的企業正在考慮，甚至已經開始使用XDR了。另一項由Ponemon Institute代表火眼進行的調研則發現，外國企業2020年在XDR上的投入意向約為333,150美元，而SIEM只有183,150美元，SOAR則有345,150美元。

Forrester的分析師Allie Mellen認為，推動這個趨勢的因素有多個。首要原因，是人員不足的SOC團隊完全沒有足夠的時間深入調查和響應他們組織面臨的每一個威脅，尤其是現在有太多的安全讓人目不暇接的情況下。

另一方面，許多安全專家發現了XDR中的價值，也在想方設法將這些能力拓展到終端以外的地方。

“雖然EDR提供了有效的終端檢測和響應能力，安全團隊還需要終端以外的遙測能力。”

Mellen說到，“XDR能夠通過將EDR數據和其他遙測數據集成，提供其他業務部分需要的可視化和控制能力。”第三個驅動XDR的原因是云端。隨著企業將更多的運營能力遷移到云端，安全人員也面臨著更大的壓力，去保護云端的數據。

XDR是基于EDR已有的成功，并且將技術演化到下一階段。像傳統的EDR工具一樣，XDR也會從筆記本、工作站、移動設備等終端設備收集并分析安全事件和呃威脅數據。但是不想EDR技術，XDR會將終端安全數據和來自網絡工具、應用、IAM工具、以及云的數據統一。

到現在為止，安全團隊一般會用安全分析工具、SIEM、網絡分析工具和數據湖去嘗試將EDR工具和環境的其他部分進行匹配。雖然說這些工具都能帶來一定程度的幫助，但是都非常消耗資源，而且由于有太多數據，會有非常高的誤報率。

更重要的是，像SIEM這樣的許多安全分析平臺，其實主要工作還是從大量資源點收集和整合安全事件和日志數據，但在分析工作上卻做得有點少。Mellen表示，原因在于SIEM部署的主要驅動力是為了合規。“

XDR通過集中能提供高效率檢測的遙測器來解決這些問題。”Mellen提到，“通過在終端部署檢測，無論終端形式是筆記本、工作站、移動設備、還是云，XDR的目的都是減少誤報率，將關注點集中在最有可能得到準確檢測的數據上。”

正在選購XDR技術的企業需要決定他們是用原生XDR能力，還是混合XDR。Forrester將原生XDR定義為，一種將廠商現有產品集成的技術;而混合XDR環境，則是從不同第三方集成產品。

原生XDR的優勢是其本身的購買過程相對直接，而集成度高。另一方面，混合XDR可以讓客戶選擇每個點上最好的產品，雖然在集成上會存在一定問題。但是無論是原生XDR，還是混合XDR，都通過SaaS模式進行服務。

Mellen認為EDR到XDR的轉變是一個循序漸進的過程：“XDR現在還是主要在終端數據為主，比如限制在筆記本、工作站和移動設備。但是隨著XDR能力逐漸成熟，并且檢測能力擴展超過傳統終端，XDR會逐漸從SIEM中搶過更多任務，最終在未來三到五年成為SIEM產品的競品。”