As equipes de segurança têm mais ferramentas do que nunca, mas os ataques continuam passando despercebidos. O motivo geralmente não é a falta de capacidade; as ferramentas de segurança individuais geram dados isoladamente, sem um contexto comum entre elas. Um alerta de endpoint é acionado aqui. Um login suspeito aparece ali. Uma anomalia na rede passa despercebida em outro lugar. Juntar todas as peças leva mais tempo do que a maioria das equipes dispõe.
A detecção e resposta estendidas (XDR) foram criadas para resolver esse problema. Ao reunir dados de telemetria de todo o ambiente em uma única plataforma de detecção e resposta, a XDR oferece às equipes de segurança a visibilidade unificada de que precisam para identificar ameaças mais rapidamente e responder antes que os danos se espalhem. Para MSPs e equipes de TI que trabalham com equipe limitada e superfícies de ataque crescentes, a pilha de segurança da Kaseya, incluindo Datto EDR, Kaseya MDR e Kaseya SIEM, foi projetada para oferecer essa mesma cobertura em todos os ambientes sem a complexidade de uma plataforma XDR empresarial desenvolvida especificamente para esse fim.
O que é detecção e resposta estendidas (XDR)?
A detecção e resposta estendidas (XDR) é uma abordagem de segurança que unifica a telemetria de várias camadas do ambiente de TI (terminais, redes, cargas de trabalho na nuvem, e-mail e sistemas de identidade) em uma única plataforma para detecção, investigação e resposta. Em vez de gerenciar ferramentas separadas, cada uma com visão limitada de apenas uma parte do panorama, o XDR correlaciona dados de todas essas camadas para identificar ameaças que, de outra forma, permaneceriam ocultas.
O termo foi cunhado pela Palo Alto Networks em 2018 e, desde então, tornou-se um dos conceitos mais discutidos na área de segurança empresarial. A Gartner define XDR como uma “plataforma unificada de detecção e resposta a incidentes de segurança que coleta e correlaciona automaticamente dados de vários componentes de segurança proprietários”. A Forrester descreve-o como “a evolução da detecção e resposta em endpoints (EDR)”, um reconhecimento de que o XDR teve o EDR como base e se expandiu para cobrir uma área de ataque mais ampla.
Na prática, o XDR é mais importante na lacuna entre a detecção e a resposta. As ferramentas de segurança tradicionais geram alertas de forma isolada. Um analista pode observar um processo suspeito em um terminal, um evento de autenticação estranho no sistema de identidade e uma conexão de saída incomum na rede, sem nenhuma indicação de que esses três eventos façam parte do mesmo ataque. O XDR conecta esses pontos automaticamente, criando linhas do tempo de ataques e correlacionando eventos entre diferentes fontes, para que os analistas investiguem incidentes em vez de alertas individuais.
Como funciona o XDR
O XDR funciona como um fluxo de trabalho em três etapas. Cada etapa se baseia na anterior, transformando dados brutos de todo o ambiente em incidentes prioritários e passíveis de ação.
Importar e normalizar
O XDR começa coletando dados de telemetria de todas as ferramentas de segurança e fontes de dados conectadas. Isso inclui agentes de endpoint, firewalls, gateways de e-mail, provedores de identidade, plataformas em nuvem e aplicativos SaaS. Como cada uma dessas fontes produz dados em formatos e esquemas diferentes, o XDR normaliza tudo em um modelo de dados comum antes de iniciar qualquer análise.
Essa etapa de normalização é o que torna possível a correlação entre fontes. Sem ela, um evento proveniente de um agente de endpoint e um evento proveniente de uma plataforma de identidade na nuvem não podem ser comparados de forma significativa, pois descrevem o mundo em termos incompatíveis. A padronização dos dados no momento da ingestão é fundamental para todas as etapas subsequentes.
Correlacionar e detectar
Com dados normalizados chegando de todo o ambiente, a plataforma XDR aplica análises, regras de detecção e modelos de aprendizado de máquina para identificar atividades suspeitas. É nesse ponto que o XDR demonstra sua principal vantagem em relação às ferramentas isoladas. As detecções são acionadas com base em padrões correlacionados, e não apenas em eventos individuais.
Uma única tentativa de login malsucedida é apenas ruído. Uma série de tentativas de login malsucedidas a partir de um local incomum, seguida por um login bem-sucedido e, em seguida, pela ativação de um processo em um terminal que essa conta normalmente não utiliza. Isso é um incidente. O XDR destaca esse padrão como um único alerta contextualizado, em vez de três eventos separados espalhados por três painéis distintos.
As plataformas XDR modernas também utilizam inteligência contra ameaças nesta fase, comparando os dados coletados com indicadores conhecidos de comprometimento e com as técnicas atuais dos agentes maliciosos, mapeadas para a estrutura MITRE ATT&CK. Isso significa que as detecções já vêm com contexto desde o momento em que são acionadas, reduzindo o tempo que os analistas gastam tentando descobrir o que um determinado alerta realmente significa.
Investigar e responder
Quando uma detecção correlacionada é acionada, o XDR apresenta aos analistas uma visão completa do incidente, que inclui a linha do tempo dos eventos, os ativos e contas afetados, as fontes de dados que contribuíram para a detecção e as ações de resposta sugeridas ou automatizadas. Essa é a diferença entre responder a um alerta e responder a um ataque.
As ações de resposta no XDR podem ser automatizadas, conduzidas por analistas ou ambas. Entre as ações automatizadas mais comuns estão o isolamento de um terminal comprometido da rede, o bloqueio de um endereço IP malicioso, a suspensão de uma conta de usuário que apresente sinais de comprometimento ou a colocação em quarentena de um arquivo suspeito. Para decisões de maior importância, o XDR fornece o contexto de que os analistas precisam para tomar decisões rápidas e bem fundamentadas, em vez de passar horas tentando reconstruir o que aconteceu.
XDR aberto vs. XDR nativo
Nem todas as plataformas XDR são construídas da mesma forma, e essa diferença é importante ao avaliar como uma solução se adaptará a um ambiente já existente. As duas principais abordagens são o XDR aberto e o XDR nativo.
O Open XDR foi projetado para coletar dados de ferramentas de segurança de qualquer fornecedor por meio de APIs abertas e integrações pré-configuradas. Em vez de exigir a substituição completa da plataforma, o Open XDR funciona como uma camada de correlação e detecção sobre as ferramentas que a organização já utiliza. Isso o torna significativamente mais prático para ambientes com uma combinação de investimentos existentes, o que descreve a maioria dos ambientes reais dos clientes de MSP.
O XDR nativo (também conhecido como XDR fechado) é desenvolvido e comercializado por um único fornecedor, cujos próprios produtos de segurança alimentam a plataforma. A detecção, a investigação e a resposta ocorrem todas dentro de um único ecossistema. A vantagem é a integração estreita, a qualidade consistente dos dados e uma experiência de usuário mais simples. A desvantagem é a flexibilidade limitada. As organizações que já investiram em ferramentas de terceiros fora do portfólio desse fornecedor podem ter dificuldade em ampliar o XDR nativo.
Para MSPs que gerenciam ambientes de clientes diversificados em dezenas ou centenas de empresas, o XDR aberto costuma ser a opção mais viável. Cada cliente pode ter uma combinação diferente de ferramentas, sistemas operacionais e plataformas em nuvem. Uma abordagem de detecção e resposta que exija total dependência de um único fornecedor é difícil de padronizar em grande escala. Uma solução que agregue os recursos já implantados é muito mais fácil de gerenciar operacionalmente.
Como o XDR se compara a outras ferramentas de detecção e resposta
O XDR faz parte de uma família mais ampla de tecnologias de detecção e resposta que podem parecer semelhantes à primeira vista. Veja a seguir como ele se relaciona com cada uma delas.
XDR x EDR
A detecção e resposta em terminais (EDR) concentra-se exclusivamente nos terminais (estações de trabalho, laptops, servidores e dispositivos móveis). Ela monitora a atividade dos processos, alterações em arquivos, conexões de rede e outros eventos no nível dos terminais, podendo isolar um dispositivo ou encerrar um processo em resposta a uma ameaça detectada. A EDR é normalmente o ponto de partida para qualquer programa de detecção e resposta e costuma ser a fonte de dados que alimenta uma plataforma XDR.
A diferença está no escopo. O EDR monitora tudo o que ocorre no terminal. O XDR monitora o terminal, além da rede, da nuvem, da identidade, do e-mail e de qualquer outra fonte conectada. Um ataque que começa com um e-mail de phishing, passa pelo comprometimento de credenciais e é executado em um terminal requer visibilidade em todas as três camadas para ser totalmente compreendido. O EDR monitora a fase do terminal; o XDR monitora tudo. Para uma análise mais detalhada, consulte EDR x XDR.
XDR x MDR
A detecção e resposta gerenciadas (MDR) é um serviço, não uma plataforma. Os provedores de MDR combinam tecnologia de detecção e resposta com uma equipe de analistas humanos que monitoram, investigam e respondem em nome do cliente. O XDR é a abordagem tecnológica subjacente; o MDR é a forma como essa capacidade pode ser fornecida como um serviço gerenciado.
Na prática, muitos serviços de MDR são executados em plataformas XDR ou utilizam a correlação de múltiplas fontes, semelhante à do XDR, como parte de sua metodologia de detecção. Para organizações que desejam visibilidade no nível do XDR, mas não dispõem de equipe interna para operar uma plataforma XDR, o MDR é a opção mais prática. Os dois são complementares, não concorrentes. Saiba mais em nossa publicação sobre MDR x XDR.
XDR x NDR
A detecção e resposta de rede (NDR) concentra-se no tráfego de rede, analisando fluxos, protocolos e padrões de comunicação na camada de rede para identificar movimentos laterais, exfiltração de dados e ameaças a dispositivos não gerenciados. A NDR detecta o que os terminais não conseguem, uma vez que captura a atividade de dispositivos que não possuem nenhum agente instalado.
O XDR pode incorporar o NDR como uma de suas fontes de dados. Quando isso ocorre, os eventos da camada de rede passam a fazer parte da mesma visão correlacionada de incidentes, juntamente com os eventos de terminais e da nuvem, proporcionando aos analistas um contexto completo em todas as três camadas simultaneamente.
XDR vs. SIEM
A gestão de informações e eventos de segurança (SIEM) coleta e correlaciona dados de log de todo o ambiente, de forma semelhante ao que o XDR faz. As principais diferenças residem na arquitetura e na finalidade. O SIEM tradicional foi projetado para a agregação de logs orientada à conformidade e exigia um ajuste manual significativo para produzir detecções úteis. Ele gera grandes volumes de alertas e, normalmente, deixa o trabalho de investigação e resposta a cargo da equipe de analistas.
O XDR foi desenvolvido especificamente para detecção e resposta, com modelos de correlação prontos para uso, investigação automatizada e ações de resposta integradas. Em vez de gerar registros para análise, ele destaca incidentes que requerem ação. Em ambientes onde ambos estão implantados, o SIEM geralmente lida com a retenção de registros a longo prazo e relatórios de conformidade, enquanto o XDR lida com a detecção e resposta a ameaças em tempo real. Para uma comparação detalhada, consulte XDR vs. SIEM.
XDR vs. SOAR
A orquestração, automação e resposta de segurança (SOAR) automatiza os fluxos de trabalho envolvidos na resposta a incidentes de segurança, coordenando ações entre várias ferramentas, executando manuais de resposta e reduzindo as etapas manuais envolvidas na triagem e contenção. Enquanto o XDR detecta e identifica incidentes, o SOAR automatiza o que vem a seguir. O XDR geralmente inclui alguns recursos semelhantes ao SOAR integrados (isolamento automatizado, suspensão de contas, bloqueio), mas plataformas SOAR dedicadas vão além na personalização de fluxos de trabalho e na orquestração entre ferramentas. Em ambientes maduros de operações de segurança, o XDR e o SOAR são frequentemente implantados juntos, com o XDR lidando com a detecção e o SOAR lidando com a resposta orquestrada.
Benefícios do XDR
O principal argumento a favor do XDR baseia-se em um problema prático. As equipes de segurança estão sobrecarregadas com alertas provenientes de ferramentas que não se comunicam entre si. O XDR resolve essa questão diretamente, e os benefícios decorrem da solução:
- Visibilidade unificada: as equipes de segurança podem monitorar terminais, redes, nuvem e identidades em um único console. As ameaças que abrangem várias camadas (o que descreve cada vez mais os ataques mais sofisticados) são visualizadas como incidentes unificados, em vez de sinais isolados em painéis separados.
- Detecção mais rápida: ao correlacionar dados de várias fontes e aplicar modelos de detecção pré-configurados, o XDR identifica ameaças que uma análise manual ou ferramentas de fonte única deixariam passar. O tempo médio de detecção diminui, pois a plataforma realiza o trabalho de correlação que, de outra forma, os analistas teriam de fazer manualmente.
- Menor fadiga de alertas: o XDR filtra o ruído na fase de correlação, agrupando eventos relacionados em incidentes e suprimindo sinais de baixa confiabilidade. Os analistas trabalham a partir de uma fila de incidentes priorizada, em vez de um fluxo bruto de alertas, o que significa que as ameaças reais recebem atenção mais rapidamente.
- Resposta mais rápida: ações de resposta automatizadas e manuais de procedimentos integrados permitem que a contenção comece em segundos, em vez de minutos. No caso de ameaças de evolução rápida, como o ransomware, essa diferença de velocidade faz uma grande diferença.
- Menor complexidade operacional: a substituição de várias soluções pontuais por uma camada unificada de detecção e resposta reduz o número de ferramentas, consoles e integrações que uma equipe precisa gerenciar. Para equipes de TI com recursos limitados, essa simplificação traz um valor operacional concreto.
- Melhor contexto de investigação: quando ocorre um incidente, o XDR apresenta a linha do tempo completa do ataque, os ativos afetados e as fontes de dados relevantes em uma única visualização. Os analistas gastam menos tempo tentando reconstruir o que aconteceu e mais tempo resolvendo o problema.
XDR gerenciado: XDR como serviço
Operar uma plataforma XDR exige mais do que apenas implementar a tecnologia. É necessário que alguém monitore a fila de incidentes, investigue as detecções, tome decisões de resposta e ajuste a plataforma ao longo do tempo. Para a maioria das pequenas e médias empresas e muitos MSPs, não é viável manter uma equipe interna dedicada a essa função 24 horas por dia.
O XDR gerenciado, também conhecido como XDR como serviço ou MxDR, resolve essa questão combinando a tecnologia XDR com uma equipe de analistas de segurança que opera a plataforma em nome do cliente. O provedor se encarrega do monitoramento contínuo, da triagem de alertas, da investigação e da resposta, enquanto o cliente mantém a visibilidade por meio de painéis e relatórios. Ele oferece os resultados de segurança de um centro de operações de segurança (SOC) totalmente equipado, sem que o cliente precise criar um.
Para os MSPs, o XDR gerenciado representa uma oportunidade significativa. Em vez de esperar que cada cliente de pequeno e médio porte execute seu próprio programa de detecção e resposta, o MSP pode oferecer essa capacidade como um serviço gerenciado, ampliando a cobertura para todos os clientes a partir de uma plataforma centralizada. Esse modelo é escalável de uma forma que o gerenciamento ponto a ponto e ferramenta a ferramenta não consegue.
A expressão-chave a ser observada aqui é “detecção e resposta estendidas gerenciadas”, que se refere especificamente ao XDR oferecido como um serviço terceirizado. À medida que o managed services amadureceu, essa categoria cresceu rapidamente, impulsionada pelo fato de que a maioria das organizações precisa de visibilidade no nível do XDR, mas não dispõe de pessoal interno para alcançá-la de forma independente.
Como a Kaseya oferece recursos de XDR
A Kaseya não comercializa um produto com a marca XDR. O que ela oferece é um conjunto de produtos de segurança altamente integrados que, em conjunto, proporcionam os resultados de detecção e resposta em diversos ambientes que o XDR promete, adaptados aos ambientes em que os MSPs e as equipes de TI realmente atuam.
O Datto EDR oferece a camada de terminais, realizando monitoramento comportamental em Windows, macOS e Linux, com cada detecção mapeada para a estrutura MITRE ATT&CK. Com mais de 65 ações de resposta automatizadas, reversão integrada de ransomware e integração direta com o Datto RMM e o Kaseya VSA, a segurança de terminais passa a fazer parte do mesmo fluxo de trabalho de gerenciamento que os MSPs já utilizam.
O Kaseya MDR oferece uma camada de detecção e resposta gerenciadas, com analistas de segurança sediados nos Estados Unidos realizando monitoramento contínuo em terminais, no Microsoft 365 e em firewalls. A correlação baseada em IA reduz o ruído de alertas, permitindo que os analistas se concentrem em ameaças confirmadas. Para os MSPs, trata-se de uma solução pronta de SOC gerenciado que pode ser oferecida aos clientes sem a necessidade de formar uma equipe interna de analistas.
O Kaseya SIEM lida com a correlação entre plataformas e o gerenciamento de logs, unificando dados de telemetria de terminais e aplicativos em nuvem em um único painel, com mais de 60 conectores nativos e retenção de logs por 400 dias. Ele complementa o Kaseya MDR ao abranger a agregação de logs e a geração de relatórios de conformidade, enquanto o MDR se encarrega da detecção e resposta em tempo real.
O XDR é, em sua essência, um compromisso com a visibilidade. Quanto mais o ambiente for visível para uma equipe de segurança, mais rápido e com maior precisão ela poderá detectar e responder às ameaças. Seja essa visibilidade proveniente de uma plataforma XDR dedicada ou de um conjunto integrado de ferramentas desenvolvidas especificamente para esse fim, o que importa é o resultado. O pacote de segurança da Kaseya foi desenvolvido para tornar esse resultado alcançável para as equipes que mais precisam dele e que têm menos margem para erros.
