Langsung ke konten utama

Perbandingan teknologi

EDR vs XDR: cakupan, korelasi, dan siapa yang mengoperasikannya

Ringkasnya

EDR mengawasi endpoint Anda. XDR mengkorelasikan sinyal lintas endpoint, jaringan, cloud, dan identitas. Keduanya teknologi; MDR layanan yang mengoperasikannya.

Security monitoring

EDR dan XDR keduanya adalah teknologi deteksi. Perbedaannya ada pada seberapa luas pandangannya. MDR sama sekali bukan teknologi; ia adalah layanan terkelola yang mengoperasikan teknologi mana pun yang Anda pilih, dengan analis yang mengawasi, berburu, dan merespons sepanjang waktu. Membedakan ketiga hal itu adalah titik awal dari perbandingan yang masuk akal.

Apa yang dicakup EDR

EDR, endpoint detection and response, merekam apa yang terjadi di setiap endpoint: proses mana yang berjalan, koneksi jaringan apa yang dibuka, file apa yang ditulis atau dihapus, kunci registry mana yang disentuh. Dari rekaman berkelanjutan itu, ia mendeteksi perilaku mencurigakan dan memberi tim Anda cara merespons: mengisolasi host, mematikan proses, menelusuri apa yang disentuh penyerang dan ke mana mereka pergi. Karena ia tetap berada di endpoint, visibilitasnya berhenti di batas jaringan. Ancaman yang tidak pernah mendarat di endpoint, atau bergerak lateral melalui cloud atau lapisan identitas Anda, berada di luar jangkauan EDR saja.

Pertukaran yang dibuat EDR adalah kedalaman demi cakupan. Di endpoint itu sendiri, visibilitasnya terperinci. Di luar itu, tidak ada.

Apa yang ditambahkan XDR

XDR, extended detection and response, mempertahankan telemetri endpoint yang dikumpulkan EDR lalu menambahkan data dari lebih banyak bagian lingkungan Anda: lalu lintas jaringan, log workload cloud, sinyal identitas dan akses, email, dan kadang OT atau IoT. Inti manfaatnya bukan sekadar lebih banyak data; melainkan korelasi lintas lapisan. Anomali login yang terlihat tidak berbahaya sendiri bisa terlihat sangat berbeda saat dikorelasikan dengan perilaku proses yang tidak biasa di mesin yang sama satu jam kemudian. XDR dirancang untuk memunculkan pola serangan multi-tahap yang tidak bisa dihubungkan oleh alat satu lapisan mana pun.

Menurut dokumentasi produk CrowdStrike, XDR didefinisikan sebagai platform yang "menyatukan telemetri lintas domain endpoint, workload, identitas, dan jaringan untuk deteksi yang terkorelasi," berbeda dengan EDR yang hanya menangani lapisan endpoint. Microsoft menggunakan framing yang serupa dalam dokumentasi produk Defender XDR-nya.

Perbedaan sekilas

 EDRXDR
Cakupan telemetriHanya endpointEndpoint, jaringan, cloud, identitas, dan lebih
Kekuatan utamaVisibilitas endpoint mendalam dan responsKorelasi lintas lapisan serangan multi-tahap
Yang bisa terlewatSerangan yang melewati atau tidak menyentuh endpointSangat sedikit secara desain, tapi keluasan integrasi berbeda per vendor
Volume alertTinggi jika endpoint banyak dan berisikBisa lebih rendah melalui korelasi lintas sumber yang menyaring kebisingan
Opsi responsIsolasi host, matikan proses, rollback di endpointTindakan endpoint yang sama, ditambah respons workload cloud dan identitas
Kapan memilihEstate berpusat endpoint dengan SIEM matang yang sudah adaLingkungan berat cloud atau berbasis identitas yang butuh deteksi terkorelasi

Di mana SIEM dan MDR masuk

SIEM bukan pengganti salah satunya. Ia mengumpulkan dan menyimpan data log untuk kepatuhan, retensi jangka panjang, dan investigasi forensik. EDR dan XDR lebih cepat dalam deteksi dan respons taktis dibanding desain SIEM. Dalam praktiknya, banyak tim mempertahankan SIEM untuk audit dan kepatuhan serta menggunakan EDR atau XDR sebagai lapisan deteksi garis depan, membiarkan lapisan korelasi XDR mengurangi volume kejadian yang sampai ke SIEM.

MDR adalah kategori yang sama sekali berbeda. Di mana EDR dan XDR adalah teknologi yang menghasilkan alert, MDR adalah layanan terkelola di mana analis keamanan mengawasi alert itu, berburu ancaman, dan bertindak untuk menahan insiden sebelum menyebar. Anda bisa menjalankan EDR atau XDR tanpa MDR jika Anda punya staf untuk mengawasinya. Banyak organisasi yang berinvestasi pada XDR melakukan itu justru karena telemetri yang lebih luas membuat cakupan terkelola lebih efektif: analis punya lebih banyak konteks, dan korelasi lintas lapisan mengurangi false positive yang mereka kejar. Untuk pertanyaan tingkat layanan penuh tentang siapa yang bertindak saat ancaman muncul, halaman MDR vs MSSP membahasnya secara terperinci.

Mana yang sesuai situasi Anda

Lingkungan Anda sebagian besar server dan workstation Windows on-premises dengan SIEM yang sudah mengumpulkan data log lain EDR memberikan cakupan endpoint mendalam tanpa menambah kompleksitas platform

Anda menjalankan workload di beberapa penyedia cloud, punya jejak SaaS yang signifikan, atau perlu mengkorelasikan kejadian identitas dengan aktivitas endpoint XDR sepadan dengan investasi lebih luas; korelasi lintas lapisan adalah tempat pola serangan modern tertangkap

Anda sudah memasang EDR tapi analis Anda tenggelam dalam alert endpoint tanpa konteks yang lebih luas Beralih ke XDR mengurangi kebisingan dan memberi analis tampilan lintas lapisan untuk triase lebih cepat

Anda tidak punya staf untuk mengawasi alert sepanjang waktu maupun waktu untuk menyetel platform secara internal Pertimbangkan layanan terkelola yang mengoperasikan EDR atau XDR untuk Anda, itulah yang dimaksud MDR

Anda butuh retensi log siap-kepatuhan sekaligus deteksi ancaman Pasangkan EDR atau XDR Anda dengan SIEM daripada mencoba melakukan kepatuhan dari platform deteksi saja

Cara kami mengoperasikan keduanya

Alpha Code menjalankan penerapan EDR dan XDR melalui Security Operations Center-nya di Jakarta. Pilihan teknologi bergantung pada lingkungan dan stack Anda yang sudah ada; lapisan layanan di atasnya sama terlepas dari itu: pemantauan 24/7, triase alert dipimpin analis, perburuan ancaman, dan respons aktif saat insiden dikonfirmasi. Kami juga menghubungkan deteksi ke proses respons insiden yang lebih luas, sehingga saat sesuatu dikonfirmasi, penahanan dimulai tanpa menunggu Anda meneruskan temuan ke tim terpisah.

Jika Anda masih menentukan apakah Anda butuh seseorang untuk mengoperasikan tooling sama sekali, itu adalah pertanyaan tingkat layanan. Halaman SOC-as-a-Service kami dan perbandingan layanan terkelola adalah tempat yang tepat untuk dibaca selanjutnya. Jika Anda ingin memahami cara kami menangani yang terjadi setelah deteksi, lihat respons insiden.

Referensi

  1. 1.CrowdStrike: What is XDR?
  2. 2.Microsoft: What is Microsoft Defender XDR?

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Lebih dari itu. EDR merekam apa yang terjadi di endpoint dan memungkinkan Anda menyelidiki serta merespons. XDR menarik telemetri dari beberapa lapisan, biasanya endpoint, jaringan, workload cloud, dan identitas, lalu mengkorelasikannya sehingga sinyal dengan kepercayaan rendah di satu lapisan bisa dikonfirmasi atau dieskalasi oleh sinyal di lapisan lain. Nilai tambahnya ada pada korelasi itu, bukan sekadar volume data yang lebih banyak.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.