XDR (Extended Detection & Response) - Definition & Erklärung

XDR (Extended Detection & Response) ist die Weiterentwicklung des EDR-Konzepts auf die gesamte IT-Umgebung. Während EDR nur Endpunkte überwacht, integriert XDR Telemetriedaten aus Endpunkten, Netzwerk, E-Mail, Cloud und Identitäts-Systemen in eine zentrale Analyseplattform.

EDR vs. MDR vs. XDR vs. SIEM

Lösung	Fokus	Telemetrie	Beispiele
EDR	Endpoints (Windows, macOS, Linux)	Prozesse, Dateien, Registry, Netzwerkverbindungen	CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint
NDR	Netzwerkverkehr	NetFlow, Pakete, DNS, Protokoll-Metadaten	Darktrace, ExtraHop, Vectra AI
SIEM	Log-Aggregation + Korrelation	Logs aus ALLEM	Splunk, Microsoft Sentinel, IBM QRadar
XDR	ALLE Vektoren unified	Endpoint + Netzwerk + E-Mail + Cloud + Identity	Palo Alto Cortex, Microsoft Defender XDR, CrowdStrike Falcon Complete
MDR	XDR + externer SOC-Betrieb	Wie XDR	24/7-Überwachung durch Dienstleister

Wie XDR Angriffe erkennt

Angriff ohne XDR (Siloansicht):

EDR: “Verdächtiger Prozess auf Workstation-14”
E-Mail-Gateway: “Phishing-Mail blockiert” (andere Konsole!)
Netzwerk: “DNS-Anfrage an unbekannte Domain” (wieder andere Konsole!)

IT muss manuell korrelieren: gehört das zusammen? Durchschnittliche Erkennungszeit: 197 Tage (IBM Cost of Breach).

Angriff mit XDR (korrelierte Ansicht):

XDR aggregiert alle drei Ereignisse in einem Alert:

ALERT: Ransomware-Angriff in Entwicklung
┌─────────────────────────────────────────┐
│ 09:14 Phishing-Mail empfangen           │
│        Benutzer: j.schmidt@firma.de     │
│ 09:17 Anhang geöffnet (Word-Dokument)   │
│        Workstation: WS-JSCHMIDT         │
│ 09:17 Macro ausgeführt → PowerShell     │
│ 09:18 DNS-Anfrage: evil-c2.ru           │
│ 09:19 Outbound HTTP zu 185.234.x.x      │
│ 09:21 Lateral Movement via SMB          │
└─────────────────────────────────────────┘
Confidence: 94% | Empfehlung: ISOLIEREN

Automatische Response: WS-JSCHMIDT isoliert!
Erkennungszeit: 7 Minuten statt 197 Tage

Microsoft Defender XDR - Praxisbeispiel

Microsoft Defender XDR integriert:

Defender for Endpoint (EDR)
Defender for Office 365 (E-Mail)
Defender for Identity (AD-Schutz)
Defender for Cloud Apps (CASB)
Microsoft Sentinel (SIEM)

// KQL-Query für verdächtige PowerShell-Aktivität:
DeviceProcessEvents
| where FileName =~ "powershell.exe"
| where ProcessCommandLine has_any ("-enc", "-EncodedCommand", "bypass", "IEX")
| where InitiatingProcessFileName =~ "winword.exe"
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
| sort by Timestamp desc

Automatische Investigation:

ALERT: “Suspicious macro execution” → automatische Untersuchung
XDR prüft automatisch: ähnliche Aktivität auf anderen Geräten?
Entitäten analysiert: Benutzer, Gerät, IP, Domain, Datei-Hash
Empfehlung: “Isolate device, reset credentials”

Native XDR vs. Open XDR

Native XDR (Vendor-Stack)

Alle Komponenten vom gleichen Hersteller
Tiefe Integration, beste Korrelation
Vendor-Lock-in
Beispiel: Microsoft Defender XDR (MS-Produkte only)

Open XDR (herstellerübergreifend)

Integriert Tools verschiedener Hersteller via API
Flexibler, aber Integrationsaufwand höher
Beispiele: Palo Alto Cortex XDR, CrowdStrike Falcon
Nutzbar wenn: bestehendes Splunk + CrowdStrike + Darktrace

Entscheidungskriterien

Situation	Empfehlung
Microsoft-Shop	Microsoft Defender XDR (native)
Heterogene Umgebung	Open XDR oder SOAR-Ergänzung
Kein eigenes SOC	MDR-Service beauftragen

XDR ROI und Kennzahlen

Mean Time to Detect (MTTD)

	Wert
Ohne XDR	197 Tage (IBM 2024)
Mit XDR	< 1 Tag (Ziel: Minuten)

Mean Time to Respond (MTTR)

	Wert
Ohne XDR	> 30 Tage
Mit XDR	< 4 Stunden

Alert-Fatigue

SIEM-Tuning: hunderte Alerts/Tag
XDR: 5-15 priorisierte, korrelierte Incidents/Tag

SOC-Produktivität

Weniger Tool-Wechsel (Single-Pane-of-Glass)
Automatisierte Triage für 70% der Alerts
Analysten fokussieren auf komplexe Fälle