ДОСЛІДЖЕННЯ ЕФЕКТИВНОСТІ XDR РІШЕНЬ ДЛЯ ВИЯВЛЕННЯ ТА УСУВАННЯ ЗАГРОЗ
DOI: 10.31673/2409-7292.2025.027390
Анотація
У контексті цифрової трансформації, коли залежність організацій від ІТ-інфраструктури стрімко зростає,
збільшується і рівень кіберзагроз. Згідно з актуальними даними, кількість кібератак на організації у 2024 році
зросла на 75% у порівнянні з попереднім роком, досягнувши 1876 інцидентів на тиждень. У відповідь на ці
виклики відбувається еволюція засобів захисту — на зміну традиційним рішенням приходять комплексні системи
XDR (Extended Detection and Response). Дослідження фокусується на порівняльному аналізі XDR та EDR
(Endpoint Detection and Response) рішень, розкриваючи їх фундаментальні відмінності та практичну
ефективність. XDR-платформи забезпечують розширене збирання та аналіз даних з різноманітних джерел
(мережеві події, хмарні сервіси, електронна пошта) замість обмеження лише кінцевими пристроями, що дозволяє
формувати цілісну картину безпеки організації. Особливу увагу приділено механізмам автоматизації memory
forensics в XDR-системах: досліджено, що сучасні платформи здатні автоматизувати збір даних з оперативної
пам'яті та розгортати спеціалізовані DFIR-утиліти через механізм "remediation". Проведено практичне порівняння
виявлення однакових загроз EDR та XDR на прикладі багатофазної фішингової атаки з використанням LOLBINs,
що продемонструвало суттєві переваги XDR у швидкості та точності реагування. Встановлено, що XDR-рішення
демонструють вищу ефективність завдяки кореляції подій з різних джерел, застосуванню машинного навчання
та поведінкової аналітики. Проаналізовано основні XDR-рішення на ринку (CrowdStrike Falcon, SentinelOne
Singularity, Microsoft Defender, Elastic Security) та їх особливості в реалізації механізмів захисту. Результати
дослідження підтверджують, що інтеграція XDR з додатковими системами (мережевими пристроями, хмарними
сервісами, системами аутентифікації) створює комплексну систему захисту, значно підвищуючи спроможність
організацій протидіяти сучасним складним кіберзагрозам. Додатково, дослідження виявило, що XDR-системи
ефективно виявляють приховані fileless-атаки та руткіти, які традиційно становлять найбільшу проблему для
звичайних засобів захисту. Важливим аспектом є також здатність XDR-рішень зменшувати кількість хибних
спрацювань завдяки контекстуальному аналізу подій, що знижує навантаження на команди безпеки та підвищує
загальну ефективність операцій SOC. Незважаючи на значні переваги XDR, дослідження підкреслює, що для
повноцінного захисту критично важливої інфраструктури необхідне поєднання автоматизованих XDR-рішень з
глибокою експертизою DFIR-фахівців, особливо при аналізі нових та невідомих загроз.
Ключові слова: XDR, EDR, CrowdStrike Falcon, Microsoft Defender, шкідливе програмне забезпечення,
memory forensics, LOLBINs, безфайлові атаки, кібербезпека, інтеграція систем захисту.
Перелік посилань
1. Check Point Research Reports Highest Increase of Global Cyber Attacks Seen in Last Two Years – a 30%
Increase in Q2 2024 Global Cyber Attacks. URL: https://blog.checkpoint.com/research/check-point-research-reportshighest-increase-of-global-cyber-attacks-seen-in-last-two-years-a-30-increase-in-q2-2024-global-cyber-attacks (дата
звернення: 10.05.2025).
2. Microsoft Digital Defense Report: 600 million cyberattacks per day around the globe. URL:
https://news.microsoft.com/en-cee/2024/11/29/microsoft-digital-defense-report-600-million-cyberattacks-per-dayaround-the-globe/ (дата звернення: 10.05.2025).
3. «XDR: The Evolution of Endpoint Security Solutions – Superior Extensibility and Analytics to Satisfy the
Organizational Needs of the Future» [Електронний ресурс]. Режим доступу: https://www.researchgate.net/ publication/
354190628 _ XDR _ The_ Evolution_ of_ Endpoint_ Security_ Solutions_ Superior_ Extensibility_ and_ Analytics_to_
Satisfy_the_Organizational_Needs_of_the_Future.
4. «Performance Evaluation of Open-Source Endpoint Detection and Response Combining Google Rapid
Response and Osquery for Threat Detection» [Електронний ресурс]. Режим доступу: https://www.researchgate.net/
publication / 358697816 _ Performance _Evaluation_of_Open-Source_Endpoint_Detection_and_Response_Combining_
Google_Rapid_Response_and_Osquery_for_Threat_Detection.
5. «Evolution of Endpoint Detection and Response (EDR) in Cyber Security: A Comprehensive Review»
[Електронний ресурс]. Режим доступу: https: // www.e3s-conferences.org / articles / e3sconf / pdf / 2024/86/e3sconf_
rawmu2024_01006.pdf.
6. Demystifying Behavior-Based Malware Detection at Endpoints» [Електронний ресурс]. Режим доступу:
https://arxiv.org/html/2405.06124v1.
7. XDR: The Evolution of Endpoint Security Solutions -Superior Extensibility and Analytics to Satisfy the
Organizational Needs of the Future [Електронний ресурс]. Режим доступу: https://www.researchgate.net/publication/
354190628 _ XDR _ The _ Evolution_of_Endpoint _ Security _ Solutions _ Superior _ Extensibility_and_Analytics_to_
Satisfy_the_Organizational_Needs_of_the_Future#:~:text=XDR%3A%20The%20Evolution%20of%20Endpoint,Organ
izational.
8. Antivirus vs EDR vs XDR: Key Differences and Benefits. URL: https://www.threatintelligence.com/blog/
antivirus-vs-edr-vs-xdr (дата звернення: 10.05.2025).
9. Extended Detection and Response (XDR). CrowdStrike. URL: https: // www.crowdstrike.com/en-us/cybersecurity-101/endpoint-security/extended-detection-and-response-xdr/ (дата звернення: 10.05.2025).
10. Microsoft 365 Defender integration with Microsoft Sentinel. Microsoft Learn. URL: https://learn.microsoft.
com / en-us / azure / sentinel / microsoft-365-defender-sentinel-integration?tabs=defender-portal (дата звернення:
10.05.2025).
11. Block C2 communication with Defender for Endpoint. URL: https://jeffreyappel.nl/block-c2-communicationwith-defender-for-endpoint/ (дата звернення: 10.05.2025).
12. Fake CAPTCHA websites hijack your clipboard to install information stealers. Malwarebytes. URL:
https://www.malwarebytes.com/blog/news/2025/03/fake-captcha-websites-hijack-your-clipboard-to-install-informationstealers (дата звернення: 10.05.2025).
13. Fileless malware threats: Recent advances, analysis approach through memory forensics and research
challenges: [Електронний ресурс]. Режим доступу: https: // www.researchgate.net/publication/364769363_Fileless_
malware_threats_Recent_advances_analysis_approach_through_memory_forensics_and_research_challenges.
14. A Malware Detection Approach Based on Deep Learning and Memory Forensics: [Електронний ресурс].
Режим доступу: https://www.mdpi.com/2073-8994/15/3/758.
15. Microsoft Detection Tools Sniff Out Fileless Malware: [Електронний ресурс]. Режим доступу: https://
www.trendmicro.com / vinfo / us /security/news/cybercrime-and-digital-threats/microsoft-detection-tools-sniff-out-fileless-malware.
16. The Role of Anomaly Detection in XDR: Enhancing Threat Visibility and Response: [Електронний ресурс].
Режим доступу: https://fidelissecurity.com/cybersecurity-101/xdr-security/anomaly-detection-in-xdr-solutions/.
17. Cortex XDR IOC rule details: [Електронний ресурс]. Режим доступу: https://docs-cortex.paloaltonetworks.
com/r/Cortex-XDR/Cortex-XDR-Cloud-Documentation/IOC-rule-details.
18. XDR Threat Investigation: [Електронний ресурс]. Режим доступу: https: // docs.trendmicro.com/en-us/
documentation/article/trend-vision-one-xdr-threat-investigation-whatsnew.
19. Perks of Sigma and YARA rules in an EDR: [Електронний ресурс]. Режим доступу: https://harfanglab.io
/blog/product/perks-sigma-yara-edr/.
20. What Are SIGMA Rules: [Електронний ресурс]. Режим доступу: https://socprime.com/blog/sigma-rulesthe-beginners-guide/.
21. What is a C2 server? [Електронний ресурс]. Режим доступу: https://www.portnox.com/cybersecurity101/what-is-a-c2-server/.
22. Offensive WMI – Active Directory Enumeration [Електронний ресурс]. Режим доступу: https://0xinfection.
github.io/posts/wmi-ad-enum/.
23. DKIM, SPF and DMARC Guid [Електронний ресурс]. Режим доступу: https: // www.mimecast.com/
content/dkim-spf-dmarc-explained/.
24. Block C2 communication with Defender for Endpoint: [Електронний ресурс]. Режим доступу: https://
jeffreyappel.nl/block-c2-communication-with-defender-for-endpoint/.
25. How Cortex XDR Global Analytics Protects Against Supply Chain Attacks: [Електронний ресурс]. Режим
доступу: https://www.paloaltonetworks.com/blog/security-operations/how-cortex-xdr-global-analytics-protects-againstsupply-chain-attacks/.
26. Antimalware Scan Interface (AMSI): [Електронний ресурс]. Режим доступу: https://learn.microsoft.com/
windows/win32/amsi/antimalware-scan-interface-portal.