XDR(Extended Detection and Response,扩展检测响应)
定义
XDR 由 Palo Alto Networks 在 2018 年首倡,是 EDR(端点)的演化版本 — 把多源数据(端点 + 网络 + 云 + 身份 + 邮件 + 应用)统一接入到一个平台,做关联分析、自动化检测与响应。
EDR 看一棵树,XDR 看整片森林。
关键能力
| 能力 | 描述 |
|---|---|
| 多源数据接入 | EDR + NDR + 邮件 + 云日志 + IAM + DNS |
| AI 关联分析 | 跨数据源攻击链还原 |
| 自动化响应 | 隔离主机、封禁账户、阻断网络一键完成 |
| 威胁狩猎 | 主动假设 + 数据搜索(Hunt) |
| MITRE ATT&CK 映射 | 攻击战术与技术分类 |
XDR 的两种流派
- Native XDR(原生)— 单一厂商完整栈,如 CrowdStrike Falcon / Palo Alto Cortex XDR / SentinelOne Singularity
- Open XDR — 接入第三方数据源,如 Stellar Cyber、Hunters、Microsoft Defender XDR
关键玩家
- CrowdStrike(CRWD,市值约 $1,709 亿,2026-05-27 [据 data/quotes/CRWD.US.json T0 金标准])— Falcon 平台,EDR/XDR 全球第一(市场地位据投行内部研究)
- Palo Alto Networks(PANW)— Cortex XDR + XSIAM 升级版
- Microsoft — Defender XDR
- SentinelOne(S)— Singularity XDR
- 中国:奇安信(终端 8 连冠)/ 深信服 / 启明星辰
在 AI 基础设施安全中的位置
XDR 是 AI 工作负载安全检测响应的事实标准 — AI 集群涉及 GPU 服务器、K8s 集群、模型 API、数据管道多源遥测,XDR 统一关联分析。
已废弃叙述
2026-05-29 数字订正:CrowdStrike 市值 $1,067 亿 → $1,709 亿(依据 T0 金标准 data/quotes/CRWD.US.json,market_cap=$170.9B,2026-05-27 快照;旧值为陈旧时点)
- CrowdStrike(CRWD,市值 $1,067 亿)— Falcon 平台,EDR/XDR 全球第一(据投行内部研究)
关联
↑ up::EDR NDR SIEM ↓ down::XSIAM Cortex XDR Falcon ∈ belongs_to::3-08-AI基础设施安全