和當今指數倍增長的安全數據相比，安全人才的短缺帶來了潛在的風險。幾乎所有的公司，無論規模大小，在安全資源能力上都有限，需要過濾各種告警才能將分析量保持在可接受范圍。但這樣一來，潛在的威脅線索就可能被埋沒，而攻擊者就有機會潛伏更長時間，從而增加安全事故的發生幾率。
在這個情況下，一種新的技術XDR（eXtended Detection and Response）出現了，為數據資源和安全運維之間提供技術集成，從而加速檢測和響應。XDR解決方案會集成一系列的統一管控點、安全數據、分析和運維能力，成為一個單獨的企業解決方案。Gartner最近為XDR進行了以下標注：“安全和風險管理領導者應該基于風險考慮XDR解決方案的優勢。”
自動化監控與分類軟件供應商Respond Software的CTO兼聯合創始人Chris Calvert就五個問題對XDR解決方案的必要性發表了看法。
第一問：你SIEM的解決方案多有效？
現在SIEM解決方案非常火，但SIEM需要一系列的規則才能減少安全團隊分析的安全事件數量。SIEM基于的邏輯過于單一，難以隔離和分析真正的攻擊。另外，SIEM的規則和編寫SIEM規則的人的能力都參差不齊，造成不準確或者不完全的分析。最后，大部分組織都缺少時間和預算，來部署和維護自己的SIEM架構。

第二問：你SOAR的效益最大化了嗎？
一些組織正在使用SOAR平臺，可以讓工程師編寫代碼，對低危的安全事件自動化進行數據收集、關聯、填充、響應等任務。但SOAR的問題在于，這些工具一旦遇到海量需要分析的數據的時候，就會極大降低自己的修復能力。所以，現在SOAR解決方案很多時候被調整用于降低告警數量，但這無異于花了大價錢，用一個強大的工具，卻刻意降低了它的效用。
第三問：能否剔除誤報？
EDR在獨立使用的時候，會產生大量的誤報。不得不說，EDR在收集數據方面很有效，但如果想實時判定某件東西是否是惡意的，那任務對它而言就過于繁重了。但是，當EDR集成到了XDR引擎中時，它就能快速處理大量傳感信息。這些信息不僅僅是來自終端的數據，還包括了來自網絡遙測點和其他傳感器的數據、漏洞信息、威脅情報、以及一些關于賬戶和獨立系統的信息。
第四問：你是否在想要單獨完整的解決方案同時，害怕被廠商綁定？
XDR是一個不錯的附加工具，但它也有自己的局限性。舉個例子，大部分XDR解決方案受限于供應商的技術結構，會減少能夠關聯的安全數據量，同時讓客戶不得不綁定一些昂貴的工具。另外，檢測能力也有局限性，或者需要專業人員進行定制化服務。
第五問：你能選出最佳解決方案嗎？
另一種選擇，是選擇不綁定廠商的XDR引擎，可以給安全團隊帶來雙重的好處：能夠實時發現事故的同時，還能用多種安全技術進行工作。環境中的傳感器會生成不同的數據和證據，并且都需要被大批量的關聯和分析。不綁定廠商的XDR引擎可以和多個廠商、遙測、威脅情報等協同，有效地只針對惡意，且需要采取行動的事故進行告警。

傳統基于規則的被動防御技術已經無法適應新的威脅環境，網絡安全已經進入檢測與響應時代。因此，EDR（端點）、NDR（網絡）、MDR（托管）、TDR（威脅）等檢測與響應技術紛紛出現，并且包括了威脅捕捉、行為分析、威脅情報等新興自動化工具。XDR泛指一切基于檢測與響應技術的工具和方案，關注的是威脅和風險控制。