Aimei Weiによる2022年の予測

XDRで想定されている拡張検出と応答の初期定義–セキュリティキルチェーン全体で検出と応答を統合した単一のプラットフォームです。 XDRの頭字語を作ったRik Turnerによると、XDRは「統合された脅威の検出と対応機能を提供する単一のスタンドアロンソリューション」です。 「包括的な」XDRソリューションとして分類されるOmdiaの基準を満たすには、製品はエンドポイント、ネットワーク、クラウドコンピューティング環境全体で脅威の検出と対応の機能を提供する必要があります。

ガートナーの定義は、アラートとインシデントの相関関係、組み込みの自動化、複数のテレメトリストリーム、複数の形式の検出（組み込みの検出）、複数の応答方法などの機能を指しているという点で類似しています。 ただし、Gartnerは、複数の独自のベンダー固有のセキュリティ製品を統合することでXDRを実現する必要があります。

Open XDRは、すべてのセキュリティ製品/コンポーネントが同じベンダーのものである必要はなく、プラットフォームがオープンでサードパーティのセキュリティツールと統合されている必要があることを除いて、Gartnerと同じ機能を備えたStellar Cyberによって最初に作成されました。 一部のコンポーネントは組み込まれており、その他のコンポーネントはサードパーティとの緊密な統合によるものです。

Open XDRは後に、組み込みのコンポーネントなしでテレメトリソースと応答のためにサードパーティツールの幅広いエコシステムに純粋に依存しているベンダーによって採用されました。

ForrestのXDRの定義では、プラットフォームをEDRの周囲に固定する必要があります。 Native XDRは、ベンダー独自のセキュリティツールと統合されたEDRとして定義されています。 サードパーティのセキュリティツールと統合するEDRとしてのハイブリッドXDRです。 SAP（Security Analytics Platform）は、EDRが組み込まれていないが、NAVとSOARが組み込まれており、サードパーティと統合されているプラットフォームです。 およびSSA（Standalone Security Analytics）は、テレメトリのソースと応答をサードパーティのツールに純粋に依存しているためです。

2022年には、XDRはさまざまな方向から収束すると予測しています。

• XDRはオープンであり、サードパーティのセキュリティツールと統合される傾向があります。これにより、最高のツールを使用し、既存の投資を維持することができます。 スタック全体を所有しようとしている間、歴史的に閉鎖されてきた人々でさえ企業が必要とする結果を提供できないことに気付いたためです。
• XDRは、EDR製品との統合によって高い有効性の検出が達成される限り、EDRから固定する必要はありません。
• XDRプラットフォームには、サードパーティの統合により、一部の組み込みコンポーネントとその他のコンポーネントが含まれます。 組み込みのコンポーネントが多いほど、サードパーティのツールを入手しなくても事前に入手できる価値が高くなります。 すぐに使用できる統合が多ければ多いほど、既存の投資を維持し、最高の製品を選択することができます。

XDRの定義は、次のような統合されたセキュリティインシデント検出および対応プラットフォームであるということです。

• 組み込みのEDR、NDR、CDR、TIP、またはすぐに使用できるサードパーティの統合により、エンドポイント、ネットワーク、クラウド、アプリケーション、ユーザー、アセット、メールなど、すべてのデータソースで高効率の検出を提供します 。
• 検証と調査を高速化するためのすべてのデータソースとセキュリティツールにわたる自動アラート相関、高度な攻撃相関によるより高度なワークフローの自動化が含まれています。
• SOARとの組み込みまたはすぐに使用可能な統合により、さまざまなセキュリティツール間での自動応答を可能にします。
• 組み込みの次世代SIEMまたはサードパーティのSIEMとのすぐに使用可能な統合を通じて、アナリストが大量のデータを視覚化して長期間保存できるようにすることで、すべてのデータソースに脅威ハンティングを組み込みます。

XDRは、攻撃対象領域全体にわたる自動検出と応答に関するものです。つまり、すべてに満たないものでは不十分です。 XDRは、最終的には「すべての検出と応答」を意味します。