¿Qué es XDR?

2023 Gartner® Market Guide for Extended Detection and Response |
Read Now

Detección y respuesta ampliadas (XDR) es una categoría de seguridad en evolución que puede unificar la prevención, detección y respuesta ante amenazas. Las soluciones XDR ingieren datos de herramientas de la pila tecnológica de seguridad de una organización para crear un contexto más amplio que permita a los equipos del Centro de Operaciones de Seguridad (SOC) llevar a cabo con mayor rapidez la detección, investigación y respuesta a las amenazas.

Las funciones clave de la XDR incluyen la detección de incidentes de seguridad, la automatización de las capacidades de respuesta y la integración de datos de inteligencia y telemetría procedentes de múltiples fuentes con análisis de seguridad para correlacionar y contextualizar las alertas de seguridad. Las soluciones XDR deben incluir un mínimo de dos sensores de seguridad nativos e integrarse perfectamente con el ecosistema de seguridad de su organización.

Las principales ventajas de XDR son:

  • Visibilidad mejorada y consolidada: Los datos se ingieren desde soluciones de seguridad aisladas para que el análisis automatizado pueda extraer conclusiones de grandes volúmenes de datos que, de otro modo, dependerían de procesos lentos y manuales. Las soluciones suelen incluir un único punto de visibilidad para unificar los hallazgos en una única consola.
  • Investigaciones más rápidas, equipos de operaciones de seguridad más productivos: dado que XDR prioriza las amenazas y reduce los volúmenes de alertas con análisis y correlaciones, los equipos pueden centrarse en los eventos de amenazas más críticos y aprovechar la automatización para abordar eventos conocidos o repetidos.
  • Menor coste total de propiedad: los proveedores de XDR con un amplio conjunto de capacidades nativas ofrecen un ahorro de costes al estandarizar en una pila de seguridad de un único proveedor, que normalmente se integra de forma inmediata. Las organizaciones que cuentan con un entorno de gran tamaño pueden desbloquear datos de distintas herramientas y proveedores con soluciones XDR que ofrecen integraciones abiertas.

XDR promete consolidar múltiples productos en un sistema cohesionado y unificado de detección y respuesta a incidentes de seguridad.

Por qué necesitan las empresas seguridad XDR

Los SOC necesitan una plataforma que reúna de forma inteligente todos los datos de seguridad relevantes y desenmascare a los adversarios avanzados. A medida que los adversarios utilizan tácticas, técnicas y procedimientos (TTP) más complejos para sortear y explotar con éxito los controles de seguridad tradicionales, las organizaciones se esfuerzan por proteger un número cada vez mayor de activos digitales vulnerables, tanto dentro como fuera del perímetro de red tradicional.

Security teams have been stretched for years. With increasing work-from-home requirements, the strain on resources has been amplified. Security professionals are being once again required to do more with the same or fewer resources, and with strict budget constraints. Las empresas necesitan medidas de seguridad unificadas y proactivas para defender todo el panorama de activos tecnológicos, que abarcan endpoints heredados, dispositivos móviles, redes y cargas de trabajo en la nube, sin sobrecargar al personal ni los recursos de gestión internos.

With bad actors including “lone wolf” attackers, hacking groups, nation states, and even potentially malicious insiders constantly circling, enterprise security and risk managers are left to overcome too many disconnected security tools and data sets from too many vendors. El personal de seguridad se enfrenta a un aluvión de datos que provoca una sobrecarga de alertas, con demasiados falsos positivos y poca integración de los datos con las herramientas de análisis o respuesta a incidentes, y todo ello bajo niveles históricos de estrés operativo.

Los responsables de seguridad y gestión de riesgos de las empresas deberían considerar las ventajas en materia de seguridad y el valor en cuanto a productividad de una solución XDR.

¿Cómo funciona XDR?

La XDR ingiere, correlaciona y contextualiza múltiples flujos de telemetría. La XDR también puede analizar Tácticas, Técnicas y Procedimientos (TTP) y otros vectores de amenazas para hacer más accesibles las complejas capacidades de las operaciones de seguridad a los equipos de seguridad que no disponen de los recursos para soluciones puntuales muy personalizadas. XDR elimina los desalentadores ciclos de detección e investigación y ofrece un contexto centrado en la amenaza y en el negocio para avanzar más rápidamente hacia una respuesta a la amenaza.

La seguridad XDR ofrece funciones avanzadas de detección de amenazas y respuesta a las mismas:

  • Detección y respuesta a ataques dirigidos
  • Soporte nativo para el análisis del comportamiento de usuarios y activos tecnológicos
  • Inteligencia sobre amenazas, incluida la inteligencia sobre amenazas local compartida junto con fuentes de inteligencia sobre amenazas adquiridas externamente
  • Reducción de la necesidad de perseguir falsos positivos mediante la correlación y confirmación automática de alertas
  • Integración de datos relevantes para una clasificación de incidentes más rápida y precisa
  • Capacidad centralizada de configuración y refuerzo con orientación ponderada para ayudar a priorizar las actividades
  • A centralized interface to perform investigations and respond to events
  • Playbooks with automation for analysts to establish best practices
  • Multi-vector, multi-vendor analytics
  • Automatización y orquestación para agilizar muchos procesos del SOC

¿Cuáles son las ventajas de la XDR?

Detectar las amenazas avanzadas de hoy en día requiere algo más que una colección de soluciones puntuales.

La seguridad XDR ofrece funciones avanzadas de detección de amenazas y respuesta, entre las que se incluyen:

  • Convertir un gran flujo de alertas en un número mucho menor de incidentes que puedan priorizarse para su investigación manual
  • Proporcionar opciones integradas de respuesta a incidentes que cuentan con el contexto necesario de todos los componentes de seguridad para resolver las alertas rápidamente
  • Proporcionando opciones de respuesta que van más allá de los puntos de control de la infraestructura, incluyendo la red, la nube y los endpoints entregando una protección integral
  • Proporcionar capacidades de automatización de tareas repetitivas para mejorar la productividad
  • Reducir la formación y subir de nivel el soporte de nivel 1 proporcionando una experiencia común de gestión y flujo de trabajo en todos los componentes de seguridad
  • Proporcionar contenido de detección utilizable y de alta calidad que requiere poco o ningún ajuste

XDR mejora las funciones críticas de los SOC cuando están reaccionando a un ataque en su entorno:

  • Detección
    Identifique más amenazas y más significativas combinando la telemetría de los endpoints con una lista cada vez mayor de proveedores de controles de seguridad, así como los eventos de seguridad recopilados y analizados por las plataformas de información y análisis de seguridad.

  • Investigación
    El trabajo en equipo hombre-máquina correlaciona toda la información relevante sobre amenazas y aplica el contexto situacional de seguridad para reducir más rápidamente la señal del ruido y ayudar a la identificación de la causa raíz.

  • Recomendaciones
    Proporciona a los analistas recomendaciones prescriptivas para profundizar en una investigación mediante consultas adicionales, además de ofrecer acciones de respuesta relevantes que mejorarían de la forma más eficaz la contención o corrección de un riesgo o amenaza detectados.

  • Caza
    Proporciona una capacidad de consulta común a través de un repositorio de datos que contiene telemetría de sensores de múltiples proveedores en busca de comportamientos sospechosos de amenazas, lo que permite a los cazadores de amenazas localizar y tomar medidas basadas en las recomendaciones. Los analistas pueden realizar consultas adicionales para obtener recomendaciones.

¿Cuál es la diferencia entre XDR, MDR y EDR?

EDR (Endpoint Detection and Response) proporciona detección y respuesta para puntos finales. Muchas organizaciones comienzan con EDR y progresan a XDR.

MDR (Managed Detection and Response) proporciona detección y respuesta como un servicio gestionado.

XDR (Extended Detection and Response) proporciona detección y respuesta a través de múltiples controles de seguridad y fuentes de datos.

Trellix XDR

Trellix Helix Connect simplifica la visibilidad y agiliza el análisis mediante la ingesta de datos de los controles de seguridad nativos de Trellix en la seguridad de endpoints, redes, datos y nubes. La solución XDR ingiere datos de más de mil millones de sensores para la detección multivectorial. También puede aprovechar los controles de seguridad que no sean de Trellix mediante integraciones abiertas para recopilar datos de más de 1.000 fuentes de terceros, de modo que su equipo pueda desbloquear y obtener más de los datos que ya posee.

Las detecciones salen a la superficie utilizando la correlación entre proveedores y múltiples vectores de amenazas para crear contexto. Las amenazas conocidas y rutinarias se eliminan con respuestas automáticas listas para usar. La Inteligencia sobre amenazas procesable para amenazas menos comunes o nuevas se crea utilizando información de nuestro Centro de Investigación Avanzada y una red de más de 1.000 millones de sensores globales. Las amenazas emergentes de alto impacto se detectan y priorizan mediante análisis basados en IA que ayudan a los equipos a mantenerse a la vanguardia del cambiante panorama de amenazas.

Solicite una demostración o haga un tour para experimentar Trellix XDR por sí mismo.

Explore más temas de concienciación sobre seguridad