XDR: 두 판 사이의 차이
IT 위키
편집 요약 없음 |
편집 요약 없음 |
||
| 1번째 줄: | 1번째 줄: | ||
e'''X'''tended '''D'''etection and '''R'''esponse | |||
XDR은 확대(eXtended)된 영역에서 자동화된 탐지(Detection)와 대응(Response)이라는 의미로, SIEM에서 한단계 진보된 일종의 통합보안관제 솔루션이다. | XDR은 확대(eXtended)된 영역에서 자동화된 탐지(Detection)와 대응(Response)이라는 의미로, SIEM에서 한단계 진보된 일종의 통합보안관제 솔루션이다. | ||
== | * 기존 EDR(Endpoint Detection and Response)의 개념을 확장한 형태로, 보안 운영의 효율성과 탐지 정확도를 향상시키는 것이 목적이다. | ||
==개념== | |||
*XDR은 서로 다른 보안 도구(엔드포인트, 네트워크, 클라우드, 이메일 등)의 '''데이터를 중앙에서 통합''' | |||
*머신러닝, 행동 기반 분석 등을 통해 '''위협을 자동 탐지하고 연관 분석''' | |||
*탐지된 위협에 대해 '''자동화된 대응 및 조사 기능''' 제공 | |||
==구성 요소== | |||
*'''데이터 수집''' | |||
**다양한 보안 도구 및 로그 소스에서 이벤트 정보 수집 | |||
**EDR, NDR, 이메일 보안, 클라우드 보안 등 포함 | |||
*'''데이터 통합 및 분석''' | |||
**위협 정보를 상관 분석(correlation)하여 복합 공격 탐지 | |||
**행동 기반 분석, 시그니처 기반 탐지, AI 기반 분석 활용 | |||
*'''대응 및 조치''' | |||
**자동 격리, 파일 삭제, 사용자 차단 등 | |||
**대응 결과를 시각화하여 인시던트 분석 지원 | |||
*'''보안 운영 자동화''' | |||
**SOAR(Security Orchestration, Automation, and Response)와 통합 가능 | |||
**반복 작업 자동화 및 대응 속도 향상 | |||
==XDR vs EDR== | |||
{| class="wikitable" | |||
!구분!!EDR!!XDR | |||
|- | |||
|범위||엔드포인트 중심||엔드포인트 + 네트워크 + 이메일 + 클라우드 등 | |||
|- | |||
|데이터 통합||제한적||다양한 소스 통합 | |||
|- | |||
|탐지 능력||단일 장치 기반 탐지||상관 분석 기반 정밀 탐지 | |||
|- | |||
|대응 자동화||상대적으로 제한||자동화 수준 높음 | |||
|} | |||
==장점== | |||
*여러 보안 솔루션의 이벤트를 하나의 플랫폼에서 통합 분석 | |||
*복합적이고 지능적인 위협(APT, 랜섬웨어 등) 대응 가능 | |||
*보안 운영센터(SOC)의 업무 부담 경감 및 대응 시간 단축 | |||
==단점== | |||
*초기 도입 비용과 구성 복잡성 존재 | |||
*조직 내 기존 보안 체계와의 연동 필요 | |||
*지나친 자동화는 오탐 가능성도 증가시킬 수 있음 | |||
==활용 사례== | |||
*내부 사용자 이상 행위 탐지 및 대응 | |||
*다중 벡터 공격(APT, 공급망 공격 등) 탐지 | |||
*클라우드/온프레미스 환경 통합 보안 관제 | |||
==같이 보기== | |||
*[[EDR]] | |||
*[[SIEM]] | |||
*[[SOAR]] | |||
*[[보안 인시던트 대응]] | |||
*[[지능형 지속 위협 (APT)]] | |||
*[[사이버 공격]] | |||
==참고 문헌== | |||
*Gartner (2020). Market Guide for Extended Detection and Response | |||
*Palo Alto Networks, Microsoft, Trend Micro 등 XDR 솔루션 제공사 기술 백서 | |||
*한국인터넷진흥원(KISA). 확장 탐지 및 대응(XDR) 기술 개요 | |||
[[분류:보안 도구]] | |||
2025년 4월 4일 (금) 01:49 기준 최신판
eXtended Detection and Response
XDR은 확대(eXtended)된 영역에서 자동화된 탐지(Detection)와 대응(Response)이라는 의미로, SIEM에서 한단계 진보된 일종의 통합보안관제 솔루션이다.
- 기존 EDR(Endpoint Detection and Response)의 개념을 확장한 형태로, 보안 운영의 효율성과 탐지 정확도를 향상시키는 것이 목적이다.
1 개념[편집 | 원본 편집]
- XDR은 서로 다른 보안 도구(엔드포인트, 네트워크, 클라우드, 이메일 등)의 데이터를 중앙에서 통합
- 머신러닝, 행동 기반 분석 등을 통해 위협을 자동 탐지하고 연관 분석
- 탐지된 위협에 대해 자동화된 대응 및 조사 기능 제공
2 구성 요소[편집 | 원본 편집]
- 데이터 수집
- 다양한 보안 도구 및 로그 소스에서 이벤트 정보 수집
- EDR, NDR, 이메일 보안, 클라우드 보안 등 포함
- 데이터 통합 및 분석
- 위협 정보를 상관 분석(correlation)하여 복합 공격 탐지
- 행동 기반 분석, 시그니처 기반 탐지, AI 기반 분석 활용
- 대응 및 조치
- 자동 격리, 파일 삭제, 사용자 차단 등
- 대응 결과를 시각화하여 인시던트 분석 지원
- 보안 운영 자동화
- SOAR(Security Orchestration, Automation, and Response)와 통합 가능
- 반복 작업 자동화 및 대응 속도 향상
3 XDR vs EDR[편집 | 원본 편집]
| 구분 | EDR | XDR |
|---|---|---|
| 범위 | 엔드포인트 중심 | 엔드포인트 + 네트워크 + 이메일 + 클라우드 등 |
| 데이터 통합 | 제한적 | 다양한 소스 통합 |
| 탐지 능력 | 단일 장치 기반 탐지 | 상관 분석 기반 정밀 탐지 |
| 대응 자동화 | 상대적으로 제한 | 자동화 수준 높음 |
4 장점[편집 | 원본 편집]
- 여러 보안 솔루션의 이벤트를 하나의 플랫폼에서 통합 분석
- 복합적이고 지능적인 위협(APT, 랜섬웨어 등) 대응 가능
- 보안 운영센터(SOC)의 업무 부담 경감 및 대응 시간 단축
5 단점[편집 | 원본 편집]
- 초기 도입 비용과 구성 복잡성 존재
- 조직 내 기존 보안 체계와의 연동 필요
- 지나친 자동화는 오탐 가능성도 증가시킬 수 있음
6 활용 사례[편집 | 원본 편집]
- 내부 사용자 이상 행위 탐지 및 대응
- 다중 벡터 공격(APT, 공급망 공격 등) 탐지
- 클라우드/온프레미스 환경 통합 보안 관제
7 같이 보기[편집 | 원본 편집]
8 참고 문헌[편집 | 원본 편집]
- Gartner (2020). Market Guide for Extended Detection and Response
- Palo Alto Networks, Microsoft, Trend Micro 등 XDR 솔루션 제공사 기술 백서
- 한국인터넷진흥원(KISA). 확장 탐지 및 대응(XDR) 기술 개요
