Die besten XDR-Tools

ArtemisDiana | shutterstock.com

Manuelles, siloartiges Management ist in der modernen IT-Welt unangebracht. Erst recht im Bereich der IT-Sicherheit: Der Umfang von modernem Enterprise Computing und State-of-the-Art-Application-Stack-Architekturen erfordern Sicherheits-Tools, die:

• Einblicke in den Sicherheitsstatus von IT-Komponenten ermöglichen,

• Bedrohungen in Echtzeit erkennen, und

• Aspekte der Bedrohungsabwehr automatisieren.

Diese Anforderungen haben zum Aufkommen von Extended-Detection-and-Response- (XDR) Lösungen geführt. Diese Sicherheits-Tools kombinieren die stärksten Elemente von Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR) und Security Orchestration and Response (SOAR) – und bauen darauf auf.

XDR-Tools evaluieren

Der Preis wird immer ein Schlüsselfaktor bei Enterprise-Sicherheitssystemen sein, die skalierbar sein müssen – da bilden auch XDR-Systeme keine Ausnahme. Die Lösungen im Bereich Extended Detection and Response sind fast ausschließlich abonnementbasiert, verursachen also laufende Kosten. Wie bei vielen Sicherheits-Tools stellen diese Kosten angesichts der finanziellen Risiken eines Datenverlusts oder den geschäftlichen Auswirkungen einer Kompromittierung einen guten Kompromiss dar. Gleiches gilt mit Blick auf den Personalaufwand, der nötig wäre, um mit bestehenden Systemen und manueller Korrelation von Ereignisdaten dasselbe Schutzniveau zu erreichen.

Zu den wichtigsten XDR-Funktionen zählen:

• Die Möglichkeit zur Integration mit vorhandener Hardware, Software und Cloud-Investitionen. Das kann sich sowohl auf die Effektivität der gewählten Plattform sowie auf die Kosten und den Aufwand für die anfängliche Implementierung der Lösung auswirken.

• Richtlinien und Regeln managen zu können, ist ebenfalls von entscheidender Bedeutung. Nur so können Sie die XDR-Funktionen auf Ihre geschäftlichen Anforderungen abstimmen und Ihre IT-Sicherheitsteams in die Lage versetzen, effektiv auf Bedrohungen zu reagieren.

• Benutzerfreundlichkeit und Schulungsoptionen (entweder durch den Anbieter oder die Community) sind schließlich ebenfalls wichtig, damit sich Ihre Investition in eine XDR-Plattform langfristig bezahlt macht.

Die besten XDR-Lösungen

Nachfolgend haben wir einige der wichtigsten XDR-Tools in alphabetischer Reihenfolge für Sie zusammengestellt.

Bitdefender GravityZone Business Security Enterprise

Die Anti-Malware-Tools von Bitdefender sind seit Jahren bei IT-Profis beliebt. Entsprechend ausgereift präsentiert sich der Bereich Endpoint Detection im Rahmen des Gravity-Zone-XDR-Offerings. Zusätzlich zu den Endpunkten überwacht GravityZone auch Netzwerkgeräte, Server und eine Vielzahl von Cloud-Laufzeitumgebungen wie Container-basierte Anwendungen, Office 365, Azure AD und AWS. Dabei kommen zusätzliche Ebenen der Datenverfeinerung und -normalisierung auf Cloud-Ebene unter Verwendung der Security-Analytics-Plattform von BitDefender zum Einsatz.

GravityZone bietet verschiedene Möglichkeiten, um Vorfälle zu visualisieren – inklusive einer Zeitleistenansicht und eines Incident Advisors. Darüber hinaus beinhaltet GravityZone auch eine Reihe von Untersuchungs- und Reaktionswerkzeugen, die es Ihnen ermöglichen, bestimmte Endpunkte zu bereinigen, innerhalb einer Remote Shell zu interagieren oder Daten für die digitale Forensik zu sammeln.

CrowdStrike Falcon Insight XDR

Das XDR-Angebot von CrowdStrike, Falcon Insight XDR, will zentraler Punkt für die Absicherung Ihrer Infrastruktur sein, indem es isolierte Sicherheitstools eliminiert und eine zusammenhängende Ansicht über Sicherheitsdomänen hinweg ermöglicht. Die Lösung von CrowdStrike sammelt Ereignisdaten von verschiedenen, nicht miteinander verbundenen Systemen und aggregiert, normalisiert und kontextualisiert diese, um daraus einen erweiterten Datensatz zu erstellen.

Diese Fülle von Ereignisdaten wird dann analysiert, um Bedrohungen oder aktive Angriffe zu entdecken. Dabei kommt maschinelles Lernen zum Einsatz, um sich entwickelnde Techniken zu erkennen, die von böswilligen Benutzern eingesetzt werden. Schließlich ermöglicht Falcon Insight XDR es Sicherheitsexperten, angemessen zu reagieren, indem sie entweder manuell oder durch automatisierte Workflows entsprechende Maßnahmen einleiten, um aktive Angriffe sofort zu unterbinden.

Cybereason XDR

Cybereason hat sich dafür entschieden, sein XDR auf Chronicle aufzubauen, einer Google-Cloud-basierten SIEM- und SOAR-Plattform. Das bringt einen gewaltigen Vorteil mit sich: Google beherrscht Daten, Analysen und Korrelation wahrscheinlich besser als jedes andere Unternehmen auf der Welt.

Cybereason hat seine EDR- und Cloud-Workload-Schutzfunktionen als “Ersthelfer” in seine XDR-Lösung integriert. Die analysieren jeweils frühzeitig Nutzer- und Anwendungsaktivitäten, identifizieren wichtige Telemetriedaten und leiten diese an Google Chronicle weiter. Die MalOp Detection Engine von Cybereason nimmt Bedrohungsdaten auf und korreliert sie zu visualisierten Zeitleisten, die einen vollständigen Überblick über den Angriffspfad geben, so dass Ihr Sicherheitsteam entsprechend reagieren kann.

Cynet 360 AutoXDR

Die 360-AutoXDR-Plattform von Cynet deckt alle Schlüsselelemente von Extended Detection and Response ab – und zwar mit mehreren Preisstufen und Optionen, die es Ihnen ermöglichen, in die Plattform “hineinzuwachsen”. Die wichtigsten XDR-Funktionen sind in fast allen Stufen enthalten. In den niedrigeren Stufen fehlen Funktionen wie Behavioral Analytics und automatische Abhilfe, was sowohl die erweiterten Erkennungs- als auch die Reaktionsaspekte von XDR in Frage stellt.

Cynet hat eine starke User Community, was sowohl für die Benutzerfreundlichkeit als auch für die Fähigkeiten der Plattform spricht.

Elastic Security for XDR

Elastic ist vor allem für seine Web- und Application-Content-Delivery-Systeme bekannt. Allerdings händelt das Unternehmen – ähnlich wie Google – massive Daten- und Traffic-Mengen.

Elastic Security for XDR ist so konzipiert, dass Sie vorhandene Sicherheits-Tools nutzen oder eine vollständige XDR-Plattform mit Komponenten und Funktionen aus dem Elastic-Produktkatalog aufbauen können. Dazu bietet Elastic sowohl SIEM- und SOAR-Funktionen als auch Bedrohungserkennung für Endpunkte und Cloud-Workloads, Live-Bedrohungsdaten sowie eine Bibliothek mit bestehenden Bedrohungen und Abhilfemaßnahmen (Elastic Security Labs).

Microsoft SecOps

Microsoft gehört zu den Anbietern, die XDR-ähnliche Funktionen durch die Kombination verschiedener Services erreichen: Microsoft Sentinel, Defender XDR, Security Exposure Management (Preview) und Security Copilot wirken zur SecOps-Plattform von MIcrosoft zusammen. Defender XDR schützt kundenorientierte Ressourcen (Endpunkte, Anwendungen und E-Mail) beziehungsweise Cloud-Dienste (Datenbanken, Speicher, Server-VMs, Container usw.). Sentinel liefert hingegen eine robuste SIEM-Grundlage, auf der kontextbezogene Warnmeldungen angezeigt und bearbeitet, Bedrohungen aufgespürt und Untersuchungen eingeleitet werden können. Security Copilot ist nativ in die Plattform eingebettet.

Ein offensichtlicher Vorteil liegt in der inhärenten Integration zwischen den Microsoft-Cloud-Plattformen wie Office 365 und Azure. Der eigentliche Wert manifestiert sich jedoch darin, dass Microsoft ähnliche Ereignisdaten für alle seine Kunden zur Verfügung hat. Das erleichert es ML-Funktionen, anomales Verhalten innerhalb der Unternehmensressourcen zu identifizieren. Mit Sentinel bietet Microsoft auch Automatisierungsfunktionen – einschließlich Konnektoren zu Drittanbieterdiensten mit Logic Apps oder der Möglichkeit, Benachrichtigungen per E-Mail oder innerhalb von Microsoft Teams zu senden.

Palo Alto Networks Cortex XDR

Cortex XDR von Palo Alto lässt sich in Ihre Netzwerkgeräte, Endpunkte und Cloud-Infrastruktur integrieren, um Angriffe zu erkennen und abzuwehren. Dabei nutzt Cortex Behavioral Analytics und Machine Learning um Angriffe zu erkennen und fasst Warnungen auf effiziente und organisierte Weise zusammen.

Palo Alto selbst hebt den Cortex-XDR-Agenten als besondere Stärke der Lösung hervor, der Malware-Erkennung, Host-basierte Firewall, Festplattenverschlüsselung und richtlinienbasiertes USB-Gerätemanagement unterstützt. Der Triage- und Untersuchungsprozess wird durch eine automatisierte Root Cause Analysis und ein Attack Sequence Reporting unterstützt. Zudem werden Vorfallsberichte und Artefakte mit einer detaillierten Aufschlüsselung über Angriffsvektoren, Umfang und Auswirkungen versehen.

SentinelOne Singularity XDR

Die Singularity-Plattform von SentinelOne überbrückt die Lücken zwischen Cloud, Endpunkt und Identity, um vollständige Transparenz über Domänen und Tech-Stacks zu schaffen. Der domänenübergreifende Fokus von Singularity beginnt mit der Datenerfassung und -analyse, die unabhängig von der Quelle des Ereignisses einen Kontext herstellt – und setzt sich bei der Behebung fort, so dass Sie die geeigneten Maßnahmen ergreifen können, um Bedrohungen zeitnah zu beseitigen.

Eine enge Integration mit einer Vielzahl von Tools und Services von Drittanbietern wird durch den Singularity-Marktplatz ermöglicht, der kuratierte Konnektoren für Splunk, Okta, Microsoft, AWS, IBM Security, ServiceNow und viele andere bereitstellt. Die Storyline-Technologie von Singularity wird während des gesamten Prozesses eingesetzt, um ein umfangreiches, umsetzbares Endprodukt zu erstellen, das Sie durch die Incident-Response-Phase führt.

Trellix XDR Platform

Trellix ist das Ergebnis des Zusammenschlusses von McAfee Enterprise und FireEye im Oktober 2021 – beide Unternehmen verfügten zu diesem Zeitpunkt über starke XDR-Plattformen. Die Trellix-Plattform verfügt über einen Funktionsumfang, der mit jedem anderen Anbieter im XDR-Bereich konkurrieren kann.

Die Lösung lässt sich in vorhandene Sicherheitstools integrieren und verbessert diese, indem sie Silos beseitigt und Bedrohungsdaten in verwertbare Ereignisse umwandelt, die korreliert und priorisiert werden. Das versetzt Ihre Sicherheitsexperten in die Lage, ihre Reaktionsstrategie nach Bedarf anzupassen.

Trend Micro Vision One

Trend Micro ist seit Jahrzehnten in der Softwarebranche tätig – sein XDR-Offering, Vision One, zählt zu den angesehensten Plattformen am Markt. Vision One erfüllt alle Anforderungen, die XDR-Systeme erfüllen müssen – inklusive der Fähigkeit, Daten aus einer Vielzahl von Quellen zu erfassen und Endpunkte mit EDR abzusichern.

Vision One unterstützt auch die proaktive Identifizierung von Schwachstellen – sowohl innerhalb als auch außerhalb der Grenzen des Unternehmensnetzwerks. Automatisierte und erweiterte Abhilfemaßnahmen sind ebenfalls möglich, etwa in Form von anpassbaren Workflows, Sicherheits-Playbooks oder der Möglichkeit, Analysen in isolierten Sandbox-Umgebungen zu fahren.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.