Buscar

Diferencias entre Cortex XDR y Microsoft Defender XDR

Puede que Microsoft Defender XDR proteja los sistemas Microsoft con eficacia, pero la solución tiene algunos tropiezos a la hora de prevenir, detectar y responder a las amenazas que actúan al margen de su ecosistema cerrado de productos.

Cortex XDR es la mejor opción para detener las amenazas modernas

La fragmentación de las funciones de detección y respuesta ampliadas (XDR) de Microsoft Defender XDR se refleja en una baja tasa de detección de amenazas, una integración de datos aislada y un complicado sistema de licencias, que dejan expuestas a las organizaciones a las amenazas de nivel medio y avanzado. Cortex XDR integra las funciones de XDR de Microsoft en un único producto intuitivo. La solución ofrece estas ventajas:
Cortex XDR® superó a Microsoft (y a todos los demás proveedores de tecnología XDR) en las evaluaciones MITRE Engenuity ATT&CK de 2023 (Turla).
Cortex XDR supera a Microsoft Defender XDR en las evaluaciones MITRE ATT&CK de 2023.

¿En qué aspectos de las pruebas Microsoft obtiene peores resultados que Cortex XDR?

Microsoft Defender XDR no cumple con los exigentes requisitos de visibilidad y detección que se necesitan para plantar cara a los ciberdelincuentes actuales que actúan bajo el amparo de organizaciones gubernamentales. En las evaluaciones MITRE ATT&CK de 2023 (Turla), que analizaban la respuesta de diferentes productos de detección y respuesta en el endpoint (EDR) frente a las puertas traseras y los implantes de red utilizados por el Servicio Federal de Seguridad ruso, Microsoft registró una tasa de detección analítica del 78,3 %, en comparación con la de Cortex XDR, que alcanzó el 100 %. La tasa de detección de Microsoft significa que no registró ninguna detección en el endpoint en el 21,7 % de los subpasos que llevaron a cabo estas herramientas de ciberdelincuencia, a diferencia de Cortex XDR, que fue capaz de detectar todos los subpasos.

Los atacantes actuales se mueven cada vez más rápido por la red de una organización en riesgo. Debido a este ritmo tan acelerado, las organizaciones tienen muy poco margen para cambiar la configuración de su solución XDR con el objetivo de detectar una amenaza específica. Cortex XDR logró una tasa de detección del 100 % sin necesidad de hacer cambios en la configuración, mientras que la tasa de detección del 78,3 % de Microsoft incluía 39 detecciones derivadas de cambios de configuración. Cortex XDR logra estos resultados gracias a que:

  • se integra con el servicio de prevención de malware WildFire® para detectar amenazas desconocidas en un entorno de análisis en la nube;
  • recurre al análisis de comportamiento para establecer perfiles de los distintos comportamientos atendiendo a más de 1000 atributos;
  • integra de forma nativa el análisis de comportamiento, la investigación forense y la visibilidad de la red.
Cortex XDR agrupa datos procedentes de distintas fuentes en una única consola con interfaz de usuario para agilizar la investigación y respuesta.

No se adapta a la empresa: Microsoft Defender XDR dificulta la integración con terceros

Microsoft Defender XDR funciona a la perfección cuando se utiliza para integrar los datos, los incidentes y las alertas de todos los productos Microsoft de una organización, así como para agruparlos y correlacionarlos. Sin embargo, cuando los clientes quieren integrar completamente los datos de los cortafuegos, los logs del servidor web y la nube o los productos de gestión de identidades y accesos (IAM) en Microsoft Defender XDR, se les recomienda adquirir Microsoft Sentinel. Microsoft Sentinel no se incluye en ninguna de las licencias que se ofrecen a los clientes, como las licencias 365, E5, Security E5 o Mobility + Security E5.

Además, Microsoft Defender XDR solo es capaz de procesar parcialmente los datos relativos a la identidad o al tejido de red procedentes de plataformas de identidad comunes como Duo u Okta. Para compensar estas limitaciones, es necesario comprar productos adicionales y volver a configurar las herramientas.

Por el contrario, el agente de Cortex XDR ofrece funciones completas de XDR listas para usar. Esto incluye una cobertura completa para los endpoints en sistemas operativos Windows, macOS, Linux, Chrome OS y Android, así como en entornos privados, públicos, híbridos y de varias nubes, mientras que las funciones de Microsoft en macOS, Linux y sistemas Windows obsoletos son más limitadas. Gracias a ello, nuestras opciones de integración con soluciones de terceros son más abiertas y flexibles para adaptarse a las necesidades de las organizaciones y a su ritmo de crecimiento. Esto lo logramos así:

  • Procesamos y utilizamos datos de cualquier fuente que utilice formatos estándar, como syslog o HTTP, y establecemos las correlaciones correspondientes.
  • Agrupamos los datos de cualquier fuente automáticamente para conocer la causa original y la cronología de las alertas, con el objetivo de identificar y detener las amenazas con rapidez.
  • Utilizamos Cortex XDR para, a partir de esos datos, generar alertas de XDR dentro de los incidentes, con el objetivo de ampliar la visibilidad rápidamente a toda la organización.
Cortex XDR is a single solution that provides a unified view into threats while Microsoft Defender XDR has many products to purchase and deploy with multiple user consoles to manage.

Una vista unificada de las amenazas en una única solución

Microsoft Defender XDR solo puede ofrecer todas las funciones que incluye Cortex XDR mediante el uso de varios productos y consolas de gestión distintos. Por sí mismo, Microsoft Defender XDR ofrece una cobertura limitada en los diferentes sistemas operativos, lo que hace que dependa de varios productos aislados, cada uno con sus propias consolas y paneles. Esto incrementa el tiempo de investigación y dificulta la gestión.

Cortex XDR optimiza las operaciones de seguridad (SecOps) proporcionando una plataforma unificada de detección y respuesta que consolida las alertas e incidentes en una única vista. Los analistas del SOC utilizan una consola automatizada basada en la web para prevenir amenazas, identificar y detectar incidentes, y acelerar las investigaciones de manera eficiente. Cortex XDR también incluye funciones de gestión de vulnerabilidades y análisis de identidades que no requieren colaboraciones con partners ni módulos de conexión específicos. En resumen, Cortex XDR:

  • proporciona una sola consola de detección y respuesta basada en la web que correlaciona las alertas e incidentes en una vista unificada;
  • utiliza Host Insights para combinar la evaluación de vulnerabilidades, la visibilidad de los sistemas y las aplicaciones, y el aprendizaje automático, además de incorporar la función Search and Destroy, que ayuda a analizar las amenazas en todos los endpoints.

Compare Cortex XDR con Microsoft Defender XDR

ProductosMicrosoft Defender XDRCortex XDR
Detección y visibilidad superiores

Falta de visibilidad y detecciones que se pasan por alto

  • Microsoft tuvo dificultades en las evaluaciones MITRE Engenuity de 2023, en las que obtuvo una tasa de detección analítica del 78,3 % y necesitó hacer cambios de configuración para detectar 39 subpasos.

Analytics-based detection drives results

  • 100% threat prevention 3 years in a row in MITRE ATT&CK® Evaluations, 100% detection rate in the 2023 MITRE Engenuity Evaluationsand 100% Overall Active Prevention in AV-Comparative EPR.

  • La falta de compatibilidad con algunas fuentes de datos limita las capacidades de detección y minimiza la visibilidad necesaria para las tareas de investigación y repuesta.

  • Extensive data collection across endpoint, network, cloud and third-party data with AI-driven data analysis drives powerful detection response and visibility.
Cobertura para toda la empresa

Cobertura incompleta en el ecosistema

  • No es capaz de procesar los datos de telemetría de terceros ni de integrar herramientas de análisis del comportamiento de entidades y usuarios o análisis de comportamiento de usuarios (UEBA y UBA, respectivamente, por sus siglas en inglés).

Elimina los ángulos muertos

  • Integra la información y las alertas procedentes no solo de los endpoints, sino también de las fuentes de datos de terceros, de los proveedores de identidad y de los entornos en la nube en toda la empresa.

  • La protección de la identidad se limita a Azure y Active Directory.

  • Cobertura completa compatible con endpoints gestionados y no gestionados de Windows, macOS y Linux.

  • No ofrece funciones de protección frente a exploits y basada en el comportamiento para equipos Linux, Windows 7 y 8 y macOS, lo que genera lagunas en la cobertura.
  • Las respuesta a incidentes se limita a los endpoints de Windows y no está automatizada.
Una vista unificada de las amenazas en una única solución

Demasiadas herramientas de gestión

  • Se necesita comprar, implementar y gestionar varios productos independientes de Microsoft.

Una consola que lo tiene todo

  • Una sola vista unificada facilita la gestión desde una única consola. Gracias a la agrupación inteligente de alertas y a la puntuación de incidentes, el tiempo de investigación se acorta en un 88 %.

  • Pasar constantemente de una consola a otra complica enormemente la gestión y reduce la eficiencia del SOC.

  • La correlación automática de eventos permite a los analistas ver todo el incidente, lo que reduce el trabajo manual.
  • La falta de integración entre las distintas consolas de prevención y detección de amenazas aumenta los tiempos de clasificación e investigación de alertas, y tener que estar pendiente de varias colas de detección hace que las tareas de gestión se conviertan en una carga.

  • Las reglas de detección y los paneles se pueden personalizar fácilmente según las necesidades específicas de cada organización.
Adecuado para grandes empresas

Solución compleja, cara y de alcance limitado

  • Depende mucho de los sistemas, servicios y soluciones de Microsoft, y deja en segundo plano la integración con otras tecnologías.

A la medida de su organización

  • Los datos se pueden procesar prácticamente desde cualquier syslog, log de eventos, Filebeat o desde cualquier origen: en toda la empresa y en los distintos sistemas operativos y nubes.
  • Requiere licencias de complementos adicionales y una mayor inversión para conseguir todas las funciones que cabe esperar de una solución XDR. Las opciones de paquetes disponibles son complejas y la necesidad de añadir varios complementos incrementa el precio considerablemente.
  • Al incluir todas las funciones XDR necesarias, listas para usar, ni se necesitan complementos adicionales ni se incurre en gastos imprevistos.

¿Quiere ver cómo funciona Cortex?

Programe una demostración

Cortex XDR siempre logra mejores resultados que Microsoft Defender XDR en las evaluaciones MITRE ATT&CK

En las evaluaciones MITRE ATT&CK de 2023, Microsoft solo proporcionó el máximo nivel de detalle (detección a nivel de técnica) en el 67,8 % de las detecciones. El resto, bien pasaron completamente desapercibidas, bien ofrecían un nivel de detalle inferior sobre las acciones de los ataques.

Cortex XDR, por su parte, ofreció una protección frente a amenazas del 100 % y detectó el 100 % de los pasos de los ataques por segundo año consecutivo. Además, el 99,3 % de las detecciones fueron a nivel de técnica, lo que significa que ofrecían el máximo nivel de detalle sobre los pasos de los ataques para ayudar a los analistas a responder a los eventos más rápido y con mayor precisión.

¿Necesita más motivos?

Consulte más información, pero no pierda demasiado tiempo: ¡se juega la seguridad del endpoint y la productividad del SOC!
Card Head Icon
Card Mobile Head Icon

Guía esencial de la 5.ª ronda de evaluaciones MITRE ATT&CK

Conozca los resultados de las distintas soluciones de seguridad del endpoint.

Obtener el libro electrónico
Card Head Icon
Card Mobile Head Icon

Informe de AV-Comparatives sobre los productos de prevención y respuesta en el endpoint (EPR)

En la última prueba de AV-Comparatives sobre EPR, Cortex XDR volvió a ser nombrado «Líder estratégico».

Leer el informe
Card Head Icon
Card Mobile Head Icon

Guía «XDR para dummies»

Descargue este libro electrónico para conocer la información más reciente sobre la tecnología XDR. Aprenderá todo lo que hay que saber y descubrirá qué es la tecnología XDR y qué no.

Obtener la guía

Solicite una demostración de Cortex XDR personalizada

Explore las opciones disponibles para reducir el número de alertas que recibe, automatizar procesos enteros y aumentar la eficacia de sus operaciones de seguridad.

Solicite una demostración de Cortex XDR personalizada

Solicite una demostración de Cortex XDR personalizada

Explore las opciones disponibles para reducir el número de alertas que recibe, automatizar procesos enteros y aumentar la eficacia de sus operaciones de seguridad.
Programe su demostración de Cortex XDR:
Al enviar este formulario, acepta nuestros Términos. Vea nuestra Declaración de privacidad.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas