Fra EDR til XDR: hvorfor “extended”?
Forgængeren EDR (Endpoint Detection and Response) gav dyb indsigt i, hvad der sker på den enkelte computer — processer, filændringer, netværksforbindelser. Men moderne angreb lever sjældent på ét endpoint: de starter typisk med en phishingmail, fortsætter med en kompromitteret M365-konto og bevæger sig derfra sideværts gennem netværket.
XDR udvider derfor synsfeltet til hele kæden. Når mail-, identitets- og endpoint-telemetri korreleres ét sted, ses angrebet som ét sammenhængende forløb i stedet for tre uafhængige alarmer — og responsen kan rettes mod hele forløbet på én gang.
Respons er det afgørende ord
Detektion uden respons er blot hurtigere dårligt nyt. XDR’s pointe er den automatiserede eller ét-kliks reaktion: en maskine, der begynder at kryptere filer, isoleres fra netværket på sekunder; en konto med umulig rejseaktivitet spærres, før angriberen når videre. Ved ransomware er forskellen mellem sekunder og timer forskellen mellem én inficeret pc og en lammet organisation.
I praksis indgår XDR som den udførende arm i en SOC-funktion: SIEM-laget ser bredt og bevarer historikken, XDR-laget ser dybt og griber ind, og analytikeren orkestrerer det hele.
Hvad skal I kigge efter?
Tre ting adskiller god XDR fra markedsføringsbuzz: dækningsbredde (omfatter platformen reelt jeres miljø — Windows, macOS, Linux-servere, M365?), responsdybde (kan den isolere, blokere og rulle tilbage, eller kun alarmere?) og driftsmodellen (hvem tuner regler og håndterer alarmerne kl. 03 — jer eller en managed-partner?). Teknologien er kun halvdelen; uden drift bliver XDR endnu et dashboard, ingen kigger på.