搜尋

Cortex XDR 與 Microsoft Defender XDR

Microsoft Defender XDR 對於保護 Microsoft 自己的系統方面或許相當成功，但該解決方案卻無法有效地預防、偵測及回應在其產品封閉生態系統之外運作的威脅行動者。

了解比較結果

安排示範

Cortex XDR 是阻止現代威脅的更好選擇

Microsoft Defender XDR 過於分散的 XDR 功能具體反映在其低威脅偵測率、孤立的數據整合和複雜的授權系統中，讓企業容易遭受中度和進階程度的威脅。Cortex XDR 已將 Microsoft 的 XDR 功能整合到一款直覺式產品中。它可提供：

跨多個數據來源的機器學習式行為分析
業界領先的惡意軟體分析沙箱以支援您的威脅捕捉
整合到一個統一、雲端主控台的網路可視性。

Cortex XDR® 最近在 2023 年 MITRE Engenuity ATT&CK 評估 (Turla) 中超越 Microsoft 以及所有其他 XDR 廠商。

在 2023 年 MITRE ATT&CK 評估中，Cortex XDR 的表現優於 Microsoft Defender XDR。

Microsoft 在測試中的哪些方面落後於 Cortex XDR？

就以現今由國家資助的威脅行動者來說，Microsoft Defender XDR 顯然並無法滿足防範這些攻擊者所需的高度可視性和偵測要求。2023 年 MITRE ATT&CK 評估 (Turla) 就將 EDR 產品與俄羅斯聯邦安全局使用的網路植入和後門進行對抗，Microsoft 公佈的分析偵測率為 78.3%，相較之下，Cortex XDR 的分析偵測率為 100.0%。Microsoft 的偵測率代表著這些網路工具採取的子步驟中有 21.7% 未能達到端點偵測，而 Cortex XDR 則能偵測所有子步驟。

現今威脅行動者穿過企業遭入侵網路的速度仍持續加快中。這樣的行動步調讓企業幾乎沒有時間變更 XDR 解決方案的設定來偵測特定威脅。Cortex XDR 的 100% 偵測率主要歸功於零設定變更，而 Microsoft 78.3% 的偵測率則包含 39 次由設定變更引起的偵測。Cortex XDR 透過以下方式達到這些結果：

與 WildFire® 惡意軟體防禦服務進行整合，以偵測雲端分析環境中的未知威脅。
利用行為分析追蹤超過 1,000 個行為屬性來分析行為。
將行為分析、鑑識和網路可視性原生整合至 Cortex XDR 中。

Cortex XDR stitches together multiple data sources into one UI console for fast investigation and response.

尚未為企業做好準備：Microsoft Defender XDR 讓第三方整合更為困難

若企業需要合併 Microsoft 產品的數據、事件和警示，並在建立關聯性之後加以整合，Microsoft Defender XDR 的表現確實相當出色。但是，為了能在 Microsoft XDR Defender 上完全整合來自防火牆、Web 伺服器日誌、雲端日誌或 IAM 產品的數據，我們建議客戶可以購買 Microsoft Sentinel。目前 Microsoft Sentinel 並未包含在其任何授權中，包括 365、E5、E5 Security 或 E5 Mobility + Security。

此外，Microsoft Defender XDR 僅能部分地從 Duo 或 Okta 等常見身分平台擷取全部身分數據來源或網路架構數據。這些限制導致需要購買額外的產品及進行重新設定。

相較之下，Cortex XDR 代理程式提供立即可用的完整 XDR 功能。其隨附可全面涵蓋 Windows、macOS、Linux、Chrome OS 和 Android 系統以及私人雲端、公用雲端、混合雲端和多雲端環境的端點，而 Microsoft 在 macOS、Linux 和舊版 Windows 提供的功能較為有限。這讓我們的第三方整合能夠更加開放且靈活，並且透過以下方式滿足不斷發展的企業需求：

擷取、對應和使用來自任意數量來源的數據，並以系統日誌或 HTTP 等標準格式交付。
自動整合任何來源的數據以揭露警示的根本原因和時間表，藉以識別並快速阻止威脅。
讓 Cortex XDR 使用該數據在事件中產生 XDR 警示，以快速地擴展整個企業的可視性。

Cortex XDR 是單一的解決方案，可提供統一的威脅檢視，而 Microsoft Defender XDR 有許多產品需要購買和部署，並使用多個使用者主控台進行管理。

單一的統一威脅檢視

Microsoft Defender XDR 需要使用一些不同的產品和管理主控台，才能達到 Cortex XDR 提供的全部功能。就其本身而言，Microsoft Defender XDR 跨作業系統的覆蓋範圍相當有限。因此，它必須依賴多個孤立的產品，每個產品都有自己的主控台和儀表板進行導覽。不但增加調查時間，也會造成管理負擔。

Cortex XDR 提供統一的偵測與回應平台，並且將警示和事件整合至單一檢視，因此可簡化 SecOps 程序。SOC 分析人員可以使用單一且自動化的 Web 式主控台，以更有效地預防威脅、識別和偵測事件並加快調查速度。Cortex XDR 還包含弱點管理和身分分析功能，因此不需要合作夥伴或特定的連線模組。總而言之，Cortex XDR 可做到：

提供一個可進行偵測與回應的 Web 式主控台，將警示和事件整合至單一檢視。
使用主機見解結合弱點評估、應用程式和系統可視性，機器學習以及搜尋和阻絕功能則有助於分析所有端點的威脅。

比較 Cortex XDR 與 Microsoft Defender XDR

產品	Microsoft Defender XDR	Cortex XDR
絕佳的偵測和可視性	缺乏可視性和遺漏的偵測 Microsoft 在 2023 年 MITRE Engenuity 評估中表現不佳，其分析偵測率為 78.3%，需要執行設定變更才能偵測 39 個子步驟。	基於分析的偵測驅動結果在 MITRE ATT&CK® 評估中連續 3 年達到 100% 威脅防禦，在 2023 年 MITRE Engenuity 評估中達到 100% 偵測率，並在 AV-Comparative EPR 中達到 100% 整體主動防禦。
絕佳的偵測和可視性	缺乏數據支援會限制偵測能力，而且會大幅減少調查和回應所需的可視性。	透過 AI 驅動的數據分析，跨越端點、網路、雲端和第三方數據的廣泛數據收集有助於促進強大的偵測回應和可視性。
企業範圍涵蓋	無法完整涵蓋整個生態系統無法擷取第三方遙測數據或將 UEBA/UBA 整合到 XDR 平台。	消除盲點無縫整合整個企業的見解和警示，包括第三方數據來源、身分提供者和雲端環境，而不僅僅是端點數據。
	身分保護僅限於 Azure 和 Active Directory。	可以全面涵蓋 Windows、macOS 和 Linux 的受管理和未受管理端點。
	缺乏針對 Linux 機器、Windows 7 和 8 以及 macOS 的弱點入侵和行為保護，因此在涵蓋範圍出現漏洞。
	事件回應僅限於 Windows 端點，而且並非自動化。
單一的統一威脅檢視	管理工具過多需要購買、部署和管理多個孤立的 Microsoft 產品。	一個主控台即可完成全部作業單一的統一檢視在一個主控台內提供輕鬆的管理。智慧警示分組和事件評分可將調查時間縮短 88%。
	在一些不同的主控台之間切換會導致管理過於複雜並降低 SOC 效率。	事件的自動關聯有助於分析師看見整個事件，減少手動工作。
	威脅防禦和偵測主控台之間缺乏整合會增加警示分類和調查時間，而且多個需要檢視的偵測佇列導致管理成為負擔。	偵測規則和儀表板可輕鬆自訂，藉以支援每家企業的獨特需求。
完全適合企業	複雜而且成本高，同時範圍有限重度依賴 Microsoft 系統、服務和解決方案以及跨越非 Microsoft 技術的整合，當初始料未及。	為企業量身打造幾乎可以從整個企業、跨越雲端和作業系統的任何 Syslog、事件日誌、Filebeat 或來源中擷取數據。
完全適合企業	需要額外的附加授權和增加投資才能獲得完整的 XDR 功能。複雜的套件選項和各種附加元件變得極為所費不貲。	包含立即可用功能的完整 XDR 特性表示不需要額外費用或附加元件。

想要觀看 Cortex 實際操作？

安排示範？

Cortex XDR 在 MITRE ATT&CK 評估中一直優於 Microsoft Defender XDR

在 2023 年 MITRE ATT&CK 評估中，Microsoft 僅有 67.8% 的偵測具有最高層級的詳細資訊 (技術層級偵測)，其餘則是完全遺漏，或者僅對於攻擊行動提供較低層級的詳細資訊。

Cortex XDR 連續第二年提供 100% 的威脅防護和 100% 的全部攻擊步驟偵測，其中 99.3% 的技術偵測為攻擊步驟提供最高層級的詳細資訊，因此分析師能夠更快速且更準確回應事件。