IT용어위키



XDR

eXtended Detection and Response

XDR은 확대(eXtended)된 영역에서 자동화된 탐지(Detection)와 대응(Response)이라는 의미로, SIEM에서 한단계 진보된 일종의 통합보안관제 솔루션이다.

  • 기존 EDR(Endpoint Detection and Response)의 개념을 확장한 형태로, 보안 운영의 효율성과 탐지 정확도를 향상시키는 것이 목적이다.

개념

  • XDR은 서로 다른 보안 도구(엔드포인트, 네트워크, 클라우드, 이메일 등)의 데이터를 중앙에서 통합
  • 머신러닝, 행동 기반 분석 등을 통해 위협을 자동 탐지하고 연관 분석
  • 탐지된 위협에 대해 자동화된 대응 및 조사 기능 제공

구성 요소

  • 데이터 수집
    • 다양한 보안 도구 및 로그 소스에서 이벤트 정보 수집
    • EDR, NDR, 이메일 보안, 클라우드 보안 등 포함
  • 데이터 통합 및 분석
    • 위협 정보를 상관 분석(correlation)하여 복합 공격 탐지
    • 행동 기반 분석, 시그니처 기반 탐지, AI 기반 분석 활용
  • 대응 및 조치
    • 자동 격리, 파일 삭제, 사용자 차단 등
    • 대응 결과를 시각화하여 인시던트 분석 지원
  • 보안 운영 자동화
    • SOAR(Security Orchestration, Automation, and Response)와 통합 가능
    • 반복 작업 자동화 및 대응 속도 향상

XDR vs EDR

구분 EDR XDR
범위 엔드포인트 중심 엔드포인트 + 네트워크 + 이메일 + 클라우드 등
데이터 통합 제한적 다양한 소스 통합
탐지 능력 단일 장치 기반 탐지 상관 분석 기반 정밀 탐지
대응 자동화 상대적으로 제한 자동화 수준 높음

장점

  • 여러 보안 솔루션의 이벤트를 하나의 플랫폼에서 통합 분석
  • 복합적이고 지능적인 위협(APT, 랜섬웨어 등) 대응 가능
  • 보안 운영센터(SOC)의 업무 부담 경감 및 대응 시간 단축

단점

  • 초기 도입 비용과 구성 복잡성 존재
  • 조직 내 기존 보안 체계와의 연동 필요
  • 지나친 자동화는 오탐 가능성도 증가시킬 수 있음

활용 사례

  • 내부 사용자 이상 행위 탐지 및 대응
  • 다중 벡터 공격(APT, 공급망 공격 등) 탐지
  • 클라우드/온프레미스 환경 통합 보안 관제

같이 보기

참고 문헌

  • Gartner (2020). Market Guide for Extended Detection and Response
  • Palo Alto Networks, Microsoft, Trend Micro 등 XDR 솔루션 제공사 기술 백서
  • 한국인터넷진흥원(KISA). 확장 탐지 및 대응(XDR) 기술 개요

  출처: IT위키(IT위키에서 최신 문서 보기)
  * 본 페이지는 공대위키에서 미러링된 페이지입니다. 일부 오류나 표현의 누락이 있을 수 있습니다. 원본 문서는 공대위키에서 확인하세요!