검색

Cortex XDR과 Microsoft Defender XDR 비교

Microsoft Defender XDR은 Microsoft 자사 시스템 보호에는 적합할지 모르지만, 자사 제품으로만 구성된 폐쇄적인 에코시스템을 벗어나 활동하는 공격자를 예방, 탐지, 공격에 대응하는 데는 역부족입니다.

비교 결과 확인하기

데모 예약

Cortex XDR, 최신 위협 방지에 더 나은 선택

Microsoft Defender XDR은 XDR 기능이 단편화되어 있습니다. 그 때문에 위협 탐지율이 낮고, 데이터 통합이 사일로화되어 있으며 라이선싱 시스템이 복잡합니다. 따라서 고객 기업은 중간 수준이나 지능형 위협에 취약해지게 됩니다. Cortex XDR은 Microsoft의 XDR 기능을 직관적인 단일 제품으로 통합합니다. 자세한 기능은 다음과 같습니다.

여러 데이터 소스 전반의 ML 기반 행동 분석
업계를 선도하는 멀웨어 분석 샌드박스로 위협 헌팅 지원
단일 통합형 클라우드 기반 콘솔에 통합된 네트워크 가시성 보장

Cortex XDR®은 최근 2023 MITRE Engenuity ATT&CK Evaluations(Turla)에서 Microsoft를 비롯한 다른 모든 XDR 공급업체보다 우수한 성적을 기록했습니다.

Cortex XDR은 2023 MITRE ATT&CK Evaluations에서 Microsoft Defender XDR보다 우수한 성적을 기록했습니다.

테스트 중 어느 부분에서 Microsoft가 Cortex XDR보다 성적이 부진했을까요?

Microsoft Defender XDR은 요즘 활발하게 활동하는 국가 지원(nation-state-backed) 공격자에 맞서 효과적으로 방어하기 위해 필수적인 우수한 가시성과 탐지 요구 사항에 부합하지 못했습니다. 2023 MITRE ATT&CK Evaluations(Turla)에서는 여러 EDR 제품을 러시아 연방 보안 서비스가 사용하는 네트워크 임플란트 및 백도어와 맞대결시켰는데, Microsoft의 분석 탐지율은 78.3%에 그쳤지만 Cortex XDR은 분석 탐지율 100.0%를 기록했습니다. Microsoft의 탐지율은 이러한 사이버 도구가 취한 단계 중 21.7%가 엔드포인트 탐지에 실패했음을 시사하는 반면 Cortex XDR은 모든 하위 단계를 빠짐없이 탐지했습니다.

오늘날 공격자가 표적 조직의 침해된 네트워크를 통과해 이동하는 속도가 계속 빨라지고 있습니다. 이렇게 진행 속도가 빨라지다 보니 기업은 특정 위협을 탐지하기 위해 자사에서 보유한 XDR 솔루션의 구성을 변경할 시간 여유가 거의 없습니다. Cortex XDR은 구성을 전혀 변경하지 않고도 탐지율 100%를 기록했지만, Microsoft의 탐지율이 78.3%가 나온 것은 구성 변경으로 인한 탐지 39건을 포함한 결과였습니다. Cortex XDR이 이렇게 좋은 결과를 거둔 이유는 다음과 같습니다.

WildFire® 멀웨어 방지 서비스와 통합하여 클라우드 분석 환경에서 알려지지 않은 위협을 탐지합니다.
행동 분석을 활용하여 1,000개 이상의 행동 속성을 추적하여 행동을 프로파일링합니다.
행동 분석, 포렌식 및 네트워크 가시성은 Cortex XDR에 기본적으로 통합되어 있습니다.

Cortex XDR은 빠른 조사와 대응을 위해 여러 데이터 소스를 하나의 UI 콘솔로 통합합니다.

엔터프라이즈에서 바로 사용 불가: Microsoft Defender XDR로는 타사 통합이 어려움

Microsoft Defender XDR은　기업이 Microsoft 제품에서 입수한 데이터, 인시던트, 알림을 통합, 상관관계 정립, 스티칭해야 하는 경우 훌륭한 성능을 자랑합니다. 하지만 Microsoft XDR Defender에서 다른 방화벽, 웹 서버 로그, 클라우드 로그나 IAM 제품의 데이터를 완전히 통합하고자 하는 고객이라면 Microsoft Sentinel을 구매하는 것이 좋습니다. Microsoft Sentinel은 365, E5, E5 Security 또는 E5 Mobility + Security 등 Microsoft의 어느 라이선스에도 포함되어 있지 않습니다.

또한 Microsoft Defender XDR은 Duo 또는 Okta와 같은 보편적인 ID 플랫폼에서 입수한 모든 ID 데이터 소스나 네트워크 패브릭 데이터를 수집하는 기능도 일부분만 제공합니다. 이러한 제약으로 인해 제품을 추가 구매하거나 다시 구성해야 합니다.

반면 Cortex XDR 에이전트의 경우, 모든 XDR 기능을 바로 사용 가능한 형태로 제공합니다. Cortex XDR 에이전트는 Windows, macOS, Linux, Chrome OS, Android 시스템과 프라이빗, 퍼블릭, 하이브리드 및 멀티 클라우드 환경 전반에 걸쳐 엔드포인트를 완벽하게 보호합니다. 그러나 Microsoft는 macOS, Linux와 레거시 Windows에서 제한된 기능만 제공합니다. Palo Alto Networks의 타사 통합은 다음과 같은 기능을 통해 성장하는 조직의 요구 사항에 맞춰 더욱 개방적이고 유연하게 조정됩니다.

syslog 또는 HTTP와 같은 표준 형식으로 제공되는 모든 소스의 데이터를 수집, 매핑 및 사용합니다.
소스와 관계없이 모든 데이터를 자동으로 스티칭해 근본 원인을 파악하고 알림 타임라인을 밝혀 위협을 식별하고 신속하게 차단합니다.
Cortex XDR은 해당 데이터를 통해 인시던트 내에서 XDR 알림을 생성하여 전사적으로 신속하게 가시성을 확장합니다.

Cortex XDR은 위협을 통합형으로 파악하는 단일 솔루션인 반면, Microsoft Defender XDR은 많은 제품을 구매 및 구축하고 여러 사용자 콘솔을 관리해야 합니다.

단일 통합형 뷰로 위협 파악

Microsoft Defender XDR에서 Cortex XDR이 제공하는 기능을 모두 이용하려면 다양한 제품과 관리 콘솔을 여러 개 사용해야 합니다. Microsoft Defender XDR 자체만으로는 여러 운영 체제에서 커버리지에 한계가 있습니다. 따라서 사일로형 제품 여러 개에 의존하는데, 이러한 제품에는 각각 콘솔과 대시보드가 있으므로 별도로 다루어야 합니다. 그만큼 조사 시간이 늘어나고, 관리 부담이 커집니다.

Cortex XDR은 탐지와 대응을 위해 하나의 통합형 플랫폼을 제공하고, 알림과 인시던트를 단일 뷰로 통합해 SecOps를 간소화해 줍니다. SOC 애널리스트는 단일, 자동 웹 기반 콘솔을 사용해 효율적으로 위협을 차단하고 인시던트를 식별 및 탐지하며 조사 속도를 높일 수 있습니다. Cortex XDR에는 취약점 관리 및 ID 분석 기능도 있어 파트너십이나 특정 연결 모듈이 필요하지 않습니다. 정리하자면, Cortex XDR의 특징은 다음과 같습니다.

탐지 및 대응 용도로 하나의 웹 기반 콘솔을 제공하여 알림의 상관관계를 정립하고 인시던트를 단일 뷰로 통합합니다.
Host Insights를 통해 취약점 평가, 애플리케이션, 시스템 가시성, 머신러닝을 결합하고 Search and Destroy를 활용해 모든 엔드포인트의 위협을 분석합니다.

Cortex XDR과 Microsoft Defender XDR 비교

제품	Microsoft Defender XDR	Cortex XDR
뛰어난 탐지 및 가시성	가시성 결여, 탐지 누락 Microsoft는 2023 MITRE Engenuity Evaluations 분석 탐지율 78.3%로 고전했으며, 39가지 하위 단계를 탐지하기 위해 구성 변경을 수행해야 했습니다.	분석 기반 탐지로 결과 도출 MITRE ATT&CK® Evaluations에서 3년 연속 위협 차단 100% 기록, 2023 MITRE Engenuity Evaluations 탐지율 100%, AV-Comparative EPR의 Overall Active Prevention 부문 100%를 기록했습니다.
뛰어난 탐지 및 가시성	데이터 지원이 부족하면 탐지 기능에 한계가 있고, 조사와 대응에 필요한 가시성이 줄어듭니다.	엔드포인트, 네트워크, 클라우드, 타사 데이터 등 광범위한 데이터를 수집하고 AI 기반 데이터 분석을 거쳐 강력한 탐지 대응과 가시성을 제공합니다.
전사 커버리지	에코시스템 전체를 아우르지 못하는 커버리지 타사 원격 데이터를 수집하거나 UEBA/UBA를 XDR 플랫폼에 통합하는 기능이 없습니다.	사각지대 제거 엔드포인트 데이터뿐만 아니라 타사 데이터 소스와 ID 공급업체, 클라우드 환경 등의 엔터프라이즈 전반에 걸쳐 인사이트와 알림을 원활하게 통합합니다.
	ID 보호가 Azure와 Active Directory에만 국한됩니다.	Windows, macOS 및 Linux에서 관리형 및 비관리형 엔드포인트를 통해 완벽한 보호 범위를 지원합니다.
	Linux 시스템, Windows 7 & 8 및 macOS에 대한 취약점 익스플로잇 및 행동 방지 기능이 부족하므로 보호 범위에 공백이 발생합니다.
	인시던트 대응이 Windows 엔드포인트에만 국한되며 자동화되어 있지 않습니다.
단일 통합형 위협 뷰	관리할 도구가 너무 많음 사일로형 Microsoft 제품을 여러 개 구매, 구축 및 관리해야 합니다.	콘솔 한 개로 모두 해결 콘솔 한 개에서 단일 통합형 뷰를 제공해 관리가 간편합니다. 지능형 알림 그룹화, 인시던트 채점을 통해 조사 시간을 88% 단축합니다.
	각기 다른 콘솔을 전환해야 하므로 관리가 매우 복잡하고 SOC 효율이 떨어집니다.	이벤트 상관관계 자동 분석을 통해 애널리스트가 전체 인시던트를 파악할 수 있어 수동 작업 부담이 줄어듭니다.
	Threat prevention과 탐지 콘솔이 통합되지 않아 알림 분류와 조사 시간이 길어지고, 탐지 대기열이 여러 개라 관리 부담이 큽니다.	탐지 규칙과 대시보드를 간편하게 사용자 지정할 수 있어 각 기업의 고유한 요구 사항이 지원됩니다.
엔터프라이즈 적합성	복잡하고 비용이 많이 들며 지원 범위가 한정적임 Microsoft 시스템, 서비스 솔루션에 대한 의존도가 높고 Microsoft 외부 기술과의 통합이 뒤늦게 추가됩니다.	각 조직에 맞춤 조정 클라우드와 운영 체제에 걸쳐 전사적으로 syslog, 이벤트 로그, Filebeat 등을 비롯하여 사실상 모든 소스에서 데이터를 수집할 수 있습니다.
엔터프라이즈 적합성	완벽한 XDR 기능을 이용하려면 애드온 라이선스를 추가해야 하고 투자를 확장해야 합니다. 패키징 옵션이 복잡하고 애드온이 다양해 비용이 굉장히 비쌉니다.	즉시 사용 가능한 기능을 포함해 전체 XDR 기능이 내장되어 예기치 못한 요금이나 애드온이 필요하지 않습니다.

Cortex의 실제 사용 모습을 확인하시겠습니까?

데모를 예약하시겠습니까?

Cortex XDR, MITRE ATT&CK Evaluations 모든 부문에서 일관되게 Microsoft Defender XDR보다 뛰어난 성능 입증

2023 MITRE ATT&CK Evaluations에서 Microsoft 제품으로 가능한 탐지 중 높은 수준의 세부 정보(기법 수준 탐지)를 제공한 것은 67.8%에 그쳤으며, 나머지는 공격에 대한 세부 정보를 완전히 놓치거나 미흡한 수준이었습니다.

Cortex XDR은 2년 연속으로 위협 보호 100%, 모든 공격 단계에 대한 탐지율 100%를 기록했으며, 기술 탐지율 99.3%로 공격 단계에 대해 극히 높은 수준의 세부 정보를 제공해 애널리스트가 이벤트에 신속 정확하게 대응할 수 있도록 지원했습니다.