90% XDR — это фейк, поскольку это просто SIEM с макияжем. Как выявить подделку?
1. Рынок перегрет: каждый второй вендор объявил себя XDR-платформой. На деле 90% таких "решений" — это старый добрый SIEM или EDR, обёрнутый в маркетинг. В принципе, как и рынок NGFW. Признаки — вам предложат ручные правила, сырые логи без нормализации, дашборды без графов связей. Настоящего объединения телеметрии нет — есть иллюзия централизованного наблюдения.
2. XDR по-настоящему: три признака
XDR — это не просто сбор логов. Это:
🔹Глубокая телеметрия с endpoint, network, cloud, identity
🔹Автоматическая корреляция в единый граф инцидента
🔹Автоматизация реагирования: от изоляции хоста до блокировки домена
Если система не видит весь "kill chain" — это не XDR, а набор сенсоров с общей витриной.
3. Инцидент — это граф, а не список алертов
XDR должен уметь показать атаку как цепочку:
email → identity → endpoint → C2 network.
Если ваш инструмент не связывает фишинг, кражу токена, запуск PowerShell и исходящий трафик — он не помогает остановить атаку, он просто её протоколирует.
4. SIEM нужен, но он не центр вселенной
SIEM не умирает — он остаётся источником логов и базой для compliance. Но в XDR он теряет лидерство. Главный вопрос — не "что произошло", а "что с этим делать". SIEM собирает события. XDR собирает смыслы. SIEM — это лента, XDR — это граф.
5. Чеклист: ваш XDR — это фейк?
Проверьте:
🔹Требует ли система ручной настройки корреляций? → SIEM
🔹Видит ли она связь между входом по VPN и запуском скрипта? → нет? → не XDR
🔹Может ли она изолировать хост и отозвать доступ? → нет? → это просто Sysmon
Примеры близких к «настоящему XDR», которые видел и использовал я: Palo Alto Cortex XDR
Посмотрите мою таблицу сравнения XDR vs SIEM
Читайте канал Топ Кибербезопасности, чтобы знать как защищаться!
#Экспертам #XDR #SIEM
