XDR中的“X”意味着将威胁检测从分散状态转化为统一。XDR不再仅仅单独识别终端、网络和邮件中的安全事件，而是通过安全管控将这些事件收集并进行关联。因此，将威胁检测理解为攻击链，或者结合MITRE ATT&CK框架。“D”则数据收集、处理和分析，从而能够比现有系统更快、更精确地检测攻击。一般而言，这些活动会在云端发生，从而能够对数月，甚至数年之久的海量数据进行进一步分析。最后。“R”和自动化能力息息相关。XDR需要通过自动化，将大量的安全运营工作从人类手中解放——有点像简约版的SOAR。

这是市场对XDR的理解，但是我们已经说了好多年工具的组合使用——那可比XDR这个概念存在的时间长多了。那XDR真的能够实现吗 ?

ESG的高级分析师Jon Oltsik和他的同事Dave Gruber最近完成了XDR的一项调研项目。Dave关注于EDR，而Jon侧重于安全运营中心，因此他们从多个角度来看XDR这个概念。根据他们的研究，XDR不仅仅很现实，甚至可能影响2021年整个安全产业。其中，关键的结论有：

• 组织已经在威胁检测前做了很多工作。当被问及他们如何定义自己的威胁检测目标时，34%的组织表示希望能够改善自己对高级威胁的检测，29%希望减少修复的平均时间，27%希望能够在威胁优先级的排序方面得到帮助。这一点代表了对流程和技术改进的需求。

• 现有工具并没有效果。哪怕投了几十亿在安全领域，企业依然无法及时对威胁进行检测和响应。当被问及威胁检测和响应面临的挑战时，31%的安全专家表示需要在自己的业余时间进行应急响应，29%承认安全监控中存在盲点，23%表示不同工具之间很难关联安全警告。这显然表示安全运营中存在很多混乱。

• 威胁检测和响应的预算在增加。83%的受访组织表示正在增加自己的维系检测和响应预算——代表了企业对于这方面的需求已经到了火烧眉毛的地步。

研究同样表明，许多组织已经将XDR作为一种可行的解决方案：70%的受访者表示已经将XDR放在未来12个月的预算中;有23%的甚至表示已经在建立XDR项目——比如将EDR和网络检测和响应工具集成、结合威胁情报等等。