Extended Detection and Response (XDR) ist eine Sicherheitsplattform für die unternehmensweite Bedrohungserkennung und -reaktion. XDR sammelt und analysiert Sicherheitsdaten über mehrere Ebenen hinweg: Endpunkte, Netzwerke, E-Mails, Cloud-Workloads und Identitäten. Damit unterscheidet es sich von EDR (Endpoint Detection and Response), das sich ausschließlich auf Endgeräte konzentriert.
Wichtige Merkmale
XDR-Plattformen kombinieren mehrere Funktionen, die andere Sicherheitslösungen nicht in dieser Form anbieten.
- Zentrale Datensammlung: Sicherheitsdaten aus mehreren Quellen werden in einer Plattform zusammengeführt.
- Automatisierte Korrelation: Die Plattform verbindet Ereignisse aus verschiedenen Schichten und erkennt Muster, die auf Angriffe hindeuten.
- Kontextstarke Analysen: XDR zeigt nicht einzelne Warnungen, sondern vollständige Angriffsketten.
- Automatisierte Reaktion: Maßnahmen wie das Isolieren eines Geräts oder das Blockieren eines Kontos können koordiniert ausgelöst werden.
- Reduzierung von Fehlalarmen: Durch Kontextanreicherung und Korrelation sinkt die Zahl der False Positives.
- Threat Intelligence Integration: XDR nutzt interne und externe Bedrohungsinformationen zur Verbesserung der Erkennung.
Abgrenzung
XDR vs. EDR
EDR (Endpoint Detection and Response) konzentriert sich auf Endgeräte wie Laptops und Server. XDR erweitert diesen Scope um Cloud-Systeme, Identitäten, E-Mails und Netzwerkdaten. Dadurch erkennt XDR auch komplexe, systemübergreifende Angriffe, die in einer reinen EDR-Lösung unsichtbar blieben.
XDR vs. MDR
XDR ist eine Technologieplattform. MDR ist ein ausgelagerter Sicherheitsdienst, bei dem externe Experten die Überwachung und Reaktion übernehmen. MDR-Dienste setzen häufig XDR-Technologie ein. Wenn beides explizit kombiniert wird, verwenden Hersteller häufig unterschiedliche Begriffe, z. B. G DATA MXDR (Managed Extended Detection and Response). Während XDR das Werkzeug ist, ist MDR der Betrieb durch externe Fachleute.
XDR vs. SIEM
SIEM (Security Information and Event Management) sammelt und korreliert Log-Daten aus einem breiten Spektrum an Quellen, vor allem regelbasiert. XDR fokussiert auf automatisierte Erkennung und Reaktion mit KI-gestützter Analyse und ist enger auf Angriffserkennung ausgerichtet. Beide Ansätze ergänzen sich und werden oft zusammen in modernen Sicherheitsarchitekturen genutzt.
Herstellerspezifische Bezeichnungen
Hersteller vermarkten XDR-Funktionen unter eigenen Produktnamen oder kombinieren XDR mit MDR zu eigenen Begriffen.
| Bezeichnung | Hersteller | Beschreibung |
|---|---|---|
| Defender XDR | Microsoft | XDR-Plattform, die mehrere Defender-Produkte (Endpoint, Identity, Office 365, Cloud Apps) in einer zentralen Sicherheitsoberfläche vereint. |
| Next XDR Expert | Kaspersky | Flaggschiff-Edition mit vollständigem XDR-Stack inklusive SIEM und Threat Intelligence. Mindestlizenzierung: 250 Lizenzen. |
| Sophos XDR | Sophos | Erweiterung der Endpoint-Lösungen um XDR- und EDR-Funktionen. Verfügbar als User- und Server-Variante. |
| Worry-Free XDR | Trend Micro | XDR-Bundle für KMU auf Basis von Worry-Free Services Advanced. |
| ThreatSync (XDR) | WatchGuard | XDR-Funktion innerhalb der Firebox Total Security Suite. |
| MXDR | G DATA | Kombination aus XDR-Technologie und gemanagtem SOC-Service. Siehe auch: MDR. |