¿Qué es XDR?

La detección y respuesta ampliadas (XDR, Extended Detection and Response) recopila datos de amenazas de las herramientas de seguridad, anteriormente aisladas, de la pila tecnológica de una organización para facilitar y agilizar la investigación, el Threat Hunting y la respuesta. Una plataforma de XDR puede recopilar telemetría de seguridad de endpoints, cargas de trabajo en la nube, correos electrónicos de red y mucho más.

Gartner define el XDR como una "plataforma unificada de detección y respuesta a incidentes de seguridad que recopila y correlaciona automáticamente datos de varios componentes de seguridad patentados".

Tras cribar estos datos enriquecidos sobre amenazas y condensarlos en una sola consola, el XDR permite a los equipos de seguridad buscar y eliminar de forma rápida y eficiente las amenazas de seguridad en diversos dominios usando una solución unificada.

Cómo funciona el XDR

El XDR conecta datos de soluciones de seguridad aisladas para que, al cooperar, mejoren la visibilidad de las amenazas y se reduzca el tiempo necesario para identificar y responder a un ataque. El XDR permite realizar tareas avanzadas de investigación forense y Threat Hunting en varios dominios desde una sola plataforma.

A continuación, se describe paso a paso y de forma sencilla el funcionamiento de XDR:

• Paso 1. Ingesta: realiza un proceso de ingesta y normalización de volúmenes de datos de endpoints, cargas de trabajo en la nube, identidades, correo electrónico, tráfico de red, contenedores virtual, etc.
• Paso 2. Detección: analiza y correlaciona datos para detectar automáticamente amenazas ocultas con capacidades avanzadas de inteligencia artificial (IA) y aprendizaje automático (ML).
• Paso 3. Respuesta: prioriza los datos de amenazas por gravedad para que los Threat Hunters puedan analizar y clasificar rápidamente nuevos eventos, así como automatizar las actividades de investigación y respuesta.

Tres ventajas de la seguridad de XDR

El XDR coordina las herramientas de seguridad aisladas y amplifica su valor, unificando y optimizando los análisis de seguridad, las investigaciones y las correcciones. En consecuencia, el XDR proporciona los siguientes beneficios:

1. Visibilidad unificada sobre las amenazas: XDR ofrece una visibilidad detallada al operar en varias capas, y recopila y correlaciona datos del correo electrónico, los endpoints, los servidores, las cargas de trabajo de la nube y las redes.
2. Detección e investigación sencillas: como el XDR se deshace de aquellas anomalías del flujo de alerta que se consideran insignificantes, los analistas y los Threat Hunters pueden centrarse en las amenazas más prioritarias. Además, gracias a los análisis avanzados y al contenido de correlación preintegrado en la herramienta, el XDR detecta automáticamente las amenazas sigilosas, con lo que prácticamente evita que los equipos de seguridad tengan que dedicar tiempo constantemente a elaborar, ajustar y gestionar reglas de detección.
3. Orquestación y respuesta integrales: una telemetría y un contexto de amenazas detallado y multidominio (que abarcan desde los hosts afectados y la causa principal hasta los indicadores y cronologías) orientan todo el proceso de investigación y corrección. Ofrece alertas automatizadas y acciones de respuesta eficaces que generan flujos de trabajo complejos y de varias herramientas para incrementar radicalmente la eficiencia del centro de operaciones de seguridad (SOC) y neutralizar las amenazas con precisión quirúrgica.

El XDR frente a otras tecnologías de detección y respuesta

El XDR suele confundirse con los otros acrónimos relacionados con la detección y la respuesta que componen la sopa de siglas que es la tecnología de ciberseguridad. A continuación se muestra una breve explicación de las diferencias entre el XDR y otras tecnologías de detección y respuesta:

• Detección y respuesta para endpoints (EDR): monitoriza dispositivos de usuarios finales, como ordenadores, portátiles, tablets y teléfonos, para buscar amenazas que el software antivirus no logra detectar.
• Detección y respuesta gestionadas (MDR): es, fundamentalmente, una solución de EDR como servicio.
• Detección y respuesta de red (NDR): monitoriza las comunicaciones dentro de la red para detectar, investigar y responder a amenazas que de otro modo podrían permanecer ocultas en dispositivos no administrados de entornos locales, en la nube e híbridos.
• Detección y respuesta ante amenazas de identidad (ITDR): detecta amenazas a todas las cuentas de servicio y privilegiadas de la red y de la nube.
• Detección y respuesta ampliadas (XDR): utiliza capacidades de EDR para ampliar la protección más allá de los endpoints y monitorizar también datos de redes, cargas de trabajo en la nube, servidores, correo electrónico, etc.
• Detección y respuesta ampliadas gestionadas (MXDR): ofrece protección gestionada de varios dominios con asistencia, ayuda y respuesta especializadas e ininterrumpidas.

¿Quieres una explicación más detallada? Lee nuestra guía sobre las diferencias entre EDR, MDR y XDR, y descubre qué tipo de solución se adapta mejor a tu organización.

Solución de XDR de CrowdStrike

CrowdStrike Falcon^® Insight XDR unifica la detección y la respuesta de todo el modelo de capas de seguridad para llevar las tecnologías de EDR de CrowdStrike al siguiente nivel. La telemetría de Falcon y la ajena a Falcon se integran en una sola consola de comandos para unificar la detección y la respuesta. CrowdStrike Falcon^® Insight XDR convierte las señales crípticas y atrapadas en soluciones aisladas en detecciones muy eficaces y en tiempo real, así como en contexto detallado para investigaciones. CrowdStrike Falcon^® Insight XDR permite a los profesionales de seguridad investigar, realizar Threat Hunting y responder de forma más rápida e intuitiva.

¿Buscas una solución de XDR gestionado (MXDR)?

CrowdStrike Falcon® Complete Next-Gen MDR ofrece gestión, Threat Hunting, monitorización, investigación y respuesta ininterrumpidos y guiados por expertos en toda la superficie de ataque de un cliente para frustrar las brechas. Gracias a la ingesta de telemetría nativa y de terceros, las organizaciones se benefician de una mayor visibilidad de todos los dominios y una corrección integral para erradicar las amenazas total y eficientemente.