Основное отличие XDR (расширенное обнаружение и реагирование) от традиционного SIEM-решения заключается в объёме и интеграции данных о безопасности. 1

SIEM в основном фокусируется на логах из различных источников внутри сети. 1 Он собирает и анализирует логи, чтобы определять события безопасности и генерировать оповещения. 1

XDR охватывает более широкий спектр данных телеметрии безопасности, включая данные конечных точек, сетевой трафик и облачные среды. 1 Он собирает и анализирует данные из разных источников, включая конечные точки, сетевой трафик, облачные среды, а иногда и дополнительные источники, такие как облачные приложения, почтовые шлюзы или аналитика поведения пользователей. 1

Кроме того, XDR производит глубокий анализ данных на всех уровнях IT-инфраструктуры, в то время как SIEM работает только с теми данными, которые ему подают: логи средств защиты информации, события из прикладного ПО и др.. 3