Dienstleistungen
Kontaktieren

Wir haben 11 XDR-Lösungen recherchiert und die Aussagen der Anbieter anhand offizieller Produktdokumentationen, MITRE ATT&CK-Bewertungsergebnissen und Kundeninstallationen überprüft. Aus diesem Pool wählten wir 5 für praxisnahe Benchmark-Tests aus und stellten jede auf dedizierten Windows Server 2022-Endpunkten und einem Linux-VM-Pool bereit, wobei 30 Testfälle in 8 Kategorien durchgeführt wurden. Lesen Sie unsere Analyse zum Preis-Leistungs-Vergleich.

Top 11 XDR-Lösungen

XDR-Benchmark-Zusammenfassung

  • Acronis Cyber Protect war der einzige Anbieter, der in einem Live-Ransomware-Test mit der Basislizenz alle 17 verschlüsselten Dateien wiederherstellte. Die Linux-EDR-Abdeckung ist enger als dokumentiert; Labortests bestätigten die Unterstützung nur für RHEL 6/7 (Kernel ≤3.10), nicht für den in der Herstellerdokumentation angegebenen Kernel-Bereich 2.6.9–5.19.
  • Sophos Intercept X wies mit 85 % die höchste kombinierte Erkennungs- plus Verhinderungsrate auf (11/13 Tests), mit 6 Ausführungszeit-Blocks und der leistungsstärksten KI-gestützten Threat-Hunting-Ausgabe im gesamten Testfeld.
  • CrowdStrike Falcon führte bei der reinen Erkennung mit 92 %, blockierte jedoch unter seiner Standardrichtlinie nur 38 % der Tests. Durch Umschalten auf AGGRESSIVE wurde die Prävention auf das Out-of-Box-Niveau der anderen angehoben; die Priorität liegt auf der Sichtbarkeit, nicht auf dem Blockieren. Es verfügte über den leichtesten Agenten (138 MB Windows im Leerlauf) und das einzige Kernel-agnostische Linux-EDR via eBPF.
  • Bitdefender GravityZone ist der einzige Anbieter mit einem 100%igen AV-Comparatives-EDR-Ergebnis und zeigte die tiefste MITRE-Zuordnung in der grafischen Oberfläche. Die HyperDetect-ML-Schicht ist die aggressivste im Testfeld; Umgebungen mit PowerShell-lastiger Automatisierung erfordern eine Feinabstimmung vor dem Produktions-Rollout. Organisationen, die PowerShell-intensive Automatisierung, RMM-Skripte oder CI/CD-Pipelines betreiben, sollten HyperDetect auf jeder Empfindlichkeitsstufe testen, bevor sie in den Produktivbetrieb gehen. Unter den Standardeinstellungen kann legitime Tooling zusammen mit der Malware erfasst werden.
  • Trend Micro Vision One wies die stärkste Alert-Korrelation auf: Ein einzelner Workbench-Vorfall wuchs im Verlauf von 6 Angriffsphasen von 2 auf 147 Alerts an. Die Lücke besteht in einem Pipeline-Fehler: Apex One blockiert mehrere Bedrohungstypen, ohne die Ereignisse an Vision One weiterzuleiten. SOAR-Analysten erhalten somit keine Konsolenaufzeichnung dieser Blocks. Workbench-Insights verzögerten sich zudem in einigen Fällen um 30 bis 90 Minuten.

1. Bereitstellung & Installation

*Zeit bis zum ersten Schutz (T2V): Die Zeitspanne vom Ausführen des Installers bis zur Anzeige des Endpunkts als aktiv und geschützt in der Konsole.

  • Acronis und Bitdefender sind die einzigen beiden mit einer echten On-Premises-Option. CrowdStrike und Sophos sind nur Cloud-basiert; Trend Micro bietet einen Hybridpfad an, benötigt aber dennoch die Cloud für die vollständige XDR-Telemetrie.
  • Die Dokumentation von Acronis (KB 67747) listet die Linux-Kernel-Unterstützung bis 5.19 auf, die Labortests zeigten jedoch die tatsächliche Grenze bei RHEL 6/7 (Kernel 3.10). Ubuntu 24.04 und AlmaLinux 9.8 schlugen beide fehl. Das eBPF-Design von CrowdStrike hat keine Kernel-Abhängigkeit und lief einwandfrei unter Ubuntu 24.04. Das ist bedeutender, als es klingt. Ubuntu 22.04+, RHEL 8/9, Debian 12 und AlmaLinux 9 fallen alle aus dem Anwendungsbereich des Acronis-EDR heraus. Auf diesen Hosts erhalten Sie Backup und grundlegende Anti-Malware, jedoch keine Verhaltenserkennung oder Kill-Chain-Sichtbarkeit. Wenn Ihre Linux-Flotte modern ist, behandeln Sie Acronis dort nur als Backup und planen Sie eine separate EDR-Schicht ein.
  • CrowdStrike war mit 65 Sekunden unter Windows am schnellsten.
  • Sophos benötigte unter Windows etwa 10 Minuten, unter Linux jedoch 53 Sekunden.
  • Die 15-minütige Windows-Installation von Trend Micro erfordert einen Neustart und zwei separate Agenten (Vision One Sensor + Apex One), die komplexeste Bereitstellung im Testfeld.

2. Erkennungsaufschlüsselung

Acronis lief durchgehend im Nur-Erkennungsmodus; die EDR-Playbooks waren nicht aktiviert, sodass jeder Vorfall als „Nicht entschärft“ landete, ungeachtet dessen, ob die zugrunde liegende Engine ihn markierte. Dies ist eine Standardrichtlinie und keine Erkennungslücke; durch Aktivierung der Playbooks werden Vorfälle auf auto-entschärft umgestellt.

Trend Micro lief gegen 16 Testfälle im Vergleich zu 13 bei den anderen, da die Zwei-Agenten-Architektur eine zusätzliche Testoberfläche schuf. Die drei Einträge „Block (nicht an Vision One protokolliert)“ sind der Fehler der stillen Blockierung: Apex One stoppte die Bedrohung auf dem Endpunkt, sendete das Ereignis jedoch nie an die Vision-One-Konsole, sodass ein SOAR-Analyst, der die Workbench beobachtet, nichts sehen würde.

3. Reaktion & Behebung

  • Acronis und Sophos sind die einzigen beiden Anbieter, die verschlüsselte Dateien wiederherstellen. Acronis stellte alle 17 Dateien innerhalb von 76 Sekunden über Backup-Snapshots wieder her, mit der Basislizenz. Sophos verwendet verhaltensbasierte Erkennung (CryptoGuard) ohne Snapshots. CrowdStrike und Trend Micro blockieren die Ausführung, können aber bereits verschlüsselte Dateien nicht wiederherstellen.
  • Alle fünf Anbieter unterstützen die Ein-Klick-Host-Isolierung. CrowdStrike hält die RTR-Shell nach der Isolierung offen und ermöglicht so Live-Untersuchungen, während der Host vom Netzwerk getrennt ist.
  • Sophos wies das stärkste Threat-Hunting-Setup auf. Ein Vorbehalt: Threat Graphs sind nur unter Windows verfügbar. Linux-Erkennungen werden als flache Ereignislisten ohne die automatisierte Kill-Chain-Visualisierung dargestellt. Auf Linux-Hosts reduziert sich die Jagd von vier auf drei Ebenen.

4. Agent-Performance

  • CrowdStrike hat mit 138 MB im Leerlauf den leichtesten Windows-Fußabdruck, etwa 8-mal geringer als die 1.174 MB von Bitdefender. Unter Linux startet der eBPF-Agent mit 43 MB, erreichte aber unter 10 Minuten Dauerlast 445 MB.
  • Sophos ist unter Linux mit 297 MB am leichtesten.
  • Bitdefender ist insgesamt am schwersten. Allein EPSecurityService.exe verbrauchte 1.005 MB; das modulare Prozessdesign begrenzt die Auswirkungen von Abstürzen, jedoch auf Kosten des RAM-Verbrauchs. Ein Problem für Endpunkte mit 4 GB oder weniger.
  • Trend Micros 14-Prozess-, 563-Thread-Windows-Profil und das 890 MB große Vorinstallationspaket reihen es in dieselbe schwere Kategorie wie Bitdefender ein.

Vergleich der 11 besten XDR-Lösungen

Die Bewertungen basieren auf G2, Gartner und Capterra. Anbieter sind nach der Anzahl ihrer Bewertungen aufgelistet.

Die Mitarbeiterzahlen basieren auf LinkedIn-Daten.

Funktionsvergleich der 11 besten XDR-Lösungen

1. Acronis Cyber Protect

Acronis Cyber Protect kombiniert Backup mit nativ integriertem EDR und XDR in einer Konsole, einem Agenten und einem Richtlinienmodell. Wir haben es auf der EU-SaaS-Instanz auf zwei Windows-Hosts und drei Linux-VMs getestet.

Installation und Onboarding

Acronis wird in drei Formen bereitgestellt: Cloud-SaaS (getestet), On-Premises Cyber Protect 15/16 und Air-Gapped Cyber Protect Local. Vollständiges EDR/XDR ist nur in der Cloud verfügbar; ein On-Prem-Server erhält Backup plus Anti-Malware und Active Protection, jedoch kein vollständiges EDR. Das macht Acronis zusammen mit Bitdefender zu einem von zwei hier nutzbaren Tools in einer Air-Gapped-Umgebung, da CrowdStrike und Sophos ausschließlich Cloud-basiert sind.

Die Bereitstellung bot sechs Installationspfade: einen GUI-Installer, Offline-Installer für 32-Bit, 64-Bit und ARM, Netzwerkgeräteerkennung mit Remote-Push, einen Registrierungscode, einen Registrierungstoken sowie eine .mst/.msi für unbeaufsichtigtes Rollout. Der Token legt eine Lebensdauer fest und bindet einen Schutzplan bei der Registrierung, sodass der Agent seinen Plan automatisch zuweist und keine Anmeldeinformationen mitführt. Derselbe Token funktionierte für den Linux-Agenten.

Die Windows-Installation dauerte etwa 50 Sekunden, einschließlich Download, gefolgt von einem separaten dreistufigen Registrierungsassistenten (ein bis zwei Minuten), insgesamt also etwa zwei bis drei Minuten interaktiv. Der Registrierungsschritt zeigte die Warnung „Detection and Response, Not available“ an, und die Taskleiste listete zunächst nur Backup auf. CrowdStrike schließt in einer einzigen 65-Sekunden-Phase ab, sodass Acronis am zweitschnellsten ist, wobei der Registrierungsschritt durch den Token entfernbar ist.

Verwaltungskonsole

Die linke Navigation enthielt acht Hauptkategorien, wobei Backup-Speicher auf der obersten Ebene neben den Sicherheitsmodulen platziert war. Acronis ist das einzige Tool hier, das Backup als gleichgestellten Sicherheitspartner behandelt und nicht als Add-on. Das Aktivieren des EDR-Pakets erweiterte die bestehende Navigation, anstatt ein separates Portal zu öffnen.

Die Anpassung verwendet ein Widget-Modell und eine #CyberFit-Posture-Bewertung. Der Testhost erreichte 450 von 850, aufgeschlüsselt in Anti-Malware 275/275, Backup 175/175 und null Punkte für Firewall, VPN, Festplattenverschlüsselung und NTLM. Die Anpassungstiefe bleibt hinter Bitdefenders über 30 gespeicherten Ansichten und Trends Companion AI zurück.

Erkennung

Die EDR-Engine funktionierte im Labor. Bereits vor dem EDR-Paket löste die verhaltensbasierte Anti-Malware-Engine einen Vorfall für den wmic-Test (C-05) aus, der als „Nicht entschärft“ protokolliert wurde. Nach Öffnung des Pakets zeigten Vorfälle einen vollständigen Cyber-Kill-Chain-Prozessbaum, den Schweregrad HOHER, einen Positivitäts-Score und einen Copilot-Pivot. Die KI-Angriffszusammenfassung erkannte einen bloßen wmic-Befehl als Impacket-Tool WMIExec und fusionierte die Tests für geplante Aufgaben (C-02) und wmic (C-05) zu einer einzigen Kette, was eine testübergreifende Korrelation statt einer Ereignis-basierten Erkennung darstellt.

Jeder Testvorfall landete als „Nicht entschärft“. Das Out-of-the-Box-Profil ist Nur-Erkennung mit einer manuellen Option „Beheben“, dieselbe Haltung wie CrowdStrike, bis die EDR-Playbooks aktiviert sind.

Die MITRE-Zuordnung erfolgte in drei Ebenen: ein Erkennungs-nach-Taktiken-Widget, Technikbezeichnungen auf den Kill-Chain-Knoten und eine T-nummerierte Angriffsinfo-Liste mit STIX-Export. Die Zuordnung ist weniger granular als Bitdefenders Sub-Techniken oder Sophos‘ über 51 Techniken in einem Vorfall. Zwei Kategorien stellen strukturelle Lücken dar: kein spezifisches NDR (Netzwerkerkennung ist endpunktbasiert, wie bei CrowdStrike) und bedingte E-Mail- und Identitätsabdeckung (ein separates Advanced Email Security-Paket und eine XDR-Pack-Entra-ID-Integration), die beide hinter der integrierten Abdeckung von Trend und Sophos zurückbleiben.

Reaktion und Behebung

Das Ransomware-Rollback ist das eindeutigste Ergebnis. Gegen den Lawndoc-Simulator (256-Bit-AES) auf einem Ordner mit 17 Dateien wurden alle 17 Originale innerhalb von 76 Sekunden in ihrer ursprünglichen Größe und mit intaktem Inhalt wiederhergestellt. Active Protection erkannte das Verschlüsselungsverhalten, entfernte die verschlüsselten Kopien und stellte die Originaldateien ohne Analysteneingriff wieder her. Dies geschah mit der Basislizenz, vor dem EDR-Paket. CrowdStrike und Trend können keine Verschlüsselung rückgängig machen; Sophos gleicht Acronis durch CryptoGuard aus. Acronis fügt eine native Backup-Wiederherstellung unterhalb der Verhaltensebene hinzu.

Die Host-Isolierung erfolgt über ein Isolate-Workload-Playbook mit einem Post-Isolierungs-Remote-Toolset (Befehlszeile, Dateiübertragung, Screenshot), wobei einige Aktionen 2FA-geschützt sind. Die Automatisierung war der stärkste Live-Nachweis im Testfeld: Durch Aktivieren eines Playbooks wurden neue Vorfälle sofort auf auto-entschärft umgestellt, ergänzt durch eine 109-Skript-Bibliothek und einen KI-Skriptgenerator. Das Hunting verwendet Acronis‘ XQL-Abfragesprache mit einem Jahr Aufbewahrung, was neuer und schmaler ist als der vierstufige Stack von Sophos.

Performance

Der Windows-Agent verbrauchte im Leerlauf etwa 432 MB resident über vier Prozesse, mit nahezu null CPU-Auslastung, etwa das Dreifache von CrowdStrikes 138 MB, da Backup und Sicherheit einen gemeinsamen Agenten nutzen. Unter Linux (CentOS) lag der Leerlauf bei 352 MB. Ein vollständiger Datenträgerscan dauerte etwa 29 Minuten, ein Schnellscan 2 Sekunden; der Scan erfasste EICAR, nbtscan und APTSimulator-Drops live. Acronis scannt Backup-Inkremente auch außerhalb des Hosts in der Cloud und schont so den Produktiv-Endpunkt. Auf CentOS erkannte das Linux-EDR einen Live-EICAR-Drop in 9 Millisekunden. Die Erkennung ist hybrid: Lokale Engines funktionieren offline für grundlegende Anti-Malware und Ransomware, wobei die vollständige EDR-Analyse von der Cloud abhängig ist.

Integration

Die SIEM-Weiterleitung ist ein dediziertes Konfigurationsobjekt, das über CEF und JSON-Syslog exportiert, mit nativen Sentinel- und Splunk-Anbindungen. Die API-Bibliothek deckt 12 Dienste ab, darunter einen EDR-Endpunkt, dokumentiert, jedoch ohne offizielles SDK auf dem Niveau von CrowdStrikes FalconPy. Der Import von Drittanbieter-Threat-Intelligence ist eine Lücke: Die Konsole führt den eigenen CPOC-Feed von Acronis, aber keine dokumentierte STIX-, TAXII- oder MISP-Erfassung. Ticketing ist aufgrund der MSP-Herkunft stark ausgeprägt, mit nativen ConnectWise, Datto Autotask und ServiceNow.

Threat Intelligence

Acronis betreibt eine Threat Research Unit, die von vier Operation Centers unterstützt wird – kleiner als die von CrowdStrike oder Sophos, aber aktiv, mit einem halbjährlichen Cyberthreats-Bericht. Der Konsolen-Feed ist Acronis-nativ, und die Feed-Aktualität wird nicht veröffentlicht, im Gegensatz zu Bitdefenders Fünf-Minuten-Wert. Die Alert-Anreicherung ist wettbewerbsfähig: Die KI-Angriffszusammenfassung wird automatisch generiert, ist in verständlicher Sprache verfasst und führt testübergreifende Korrelation durch.

Berichterstellung

Das Berichtsmodul umfasst etwa 16 Vorlagen aus den Bereichen Betrieb, Sicherheit und Nutzung, mit einem Widget-basierten Builder und einem Zeitplaner. Der Export umfasst PDF, XLSX, CSV und JSON, den breitesten Format-Satz im Benchmark, sowie E-Mail- und Save-to-Folder-Zustellung. Es gibt keine native SFTP- oder Webhook-Zustellung.

2. CrowdStrike Falcon

Installation und Onboarding

Falcon ist ausschließlich Cloud-basiertes SaaS, mit Regionenauswahl (EU-1, US-1, US-2, GovCloud), jedoch ohne On-Prem-Appliance oder Air-Gapped-Option. Dies schließt Air-Gapped-Umgebungen aus, in denen Acronis und Bitdefender die einzigen beiden Kandidaten unter den fünf bleiben. Sophos befindet sich in derselben Cloud-Only-Position.

Der Windows-Sensor wird über einen GUI-Dialog mit vorausgefüllter Kunden-ID installiert, keine Befehlszeile erforderlich, und war in etwa 65 Sekunden in einer einzigen Phase abgeschlossen – die schnellste gemessene Einzelmaschinen-Installation. Die Massenbereitstellung stützt sich auf dokumentierte CLI-Argumente und nicht auf die sechs vorgefertigten Pfade, die Acronis bietet, sodass die Breite der Bereitstellungsmethoden geringer ist. Der Linux-Sensor wurde in etwa 7 Sekunden netto installiert (42,6 Sekunden inklusive SCP-Transfer), was etwa neunmal schneller als unter Windows ist und das eBPF-Design widerspiegelt, das kein Kernel-Modul benötigt. Ein Deinstallationstoken und ein optionaler Installationstoken machen den Agenten selbstschützend, sodass ein Angreifer ihn ohne beide Token nicht entfernen kann.

Verwaltungskonsole

Die linke Navigation listet über 12 Module an einem Ort auf: Next-Gen SIEM, Endpoint Security, Identity Protection, Counter Adversary Operations, Investigate, Fusion SOAR, Foundry, Asset Inventory und mehr. Das Öffnen einer Erkennung öffnet eine Schublade, anstatt Tabs oder Mandanten zu wechseln, sodass der Anspruch einer einheitlichen Oberfläche umfassender erfüllt wird als bei den anderen vier Tools, bei denen Identität, E-Mail oder XDR-Telemetrie tendenziell in separaten Bereichen leben.

Die Host-Verwaltung zeigte sowohl den Windows- als auch den Ubuntu-Host in einer Tabelle unter derselben Phase-2-Richtlinie, mit einer Gruppenabstraktion, die plattformabhängige Richtlinien aus einer plattformübergreifenden Gruppe anwendet. Die Dashboard-Anpassung unterstützt geklonte Dashboards, ein „Widget hinzufügen“-Panel mit vordefinierten und benutzerdefinierten Widgets sowie eine „Attack Path Analytics“-Widget-Kategorie, die von Identity Protection und Asset Inventory gespeist wird und die die anderen Tools nicht enthielten.

Erkennung

Wir führten 13 Windows-Tests in den Kategorien Signatur, LoLBin, Lateral Movement und Persistenz durch. Unter Phase 2 führten fünf zu einem direkten Block: JavaScript-Ausführung über rundll32, certutil-Download, mimikatz-Start (gestoppt durch AMSI-Skriptinhaltsanalyse vor Extraktion der Binärdatei), LSASS-Dumping über comsvcs.dll und ein AMSI-Bypass-Versuch. Ein Versuch, den Falcon-Dienst über CIM zu stoppen, wurde mit „Access Denied“ abgelehnt, was den Sensor-Tamper-Schutz bestätigt.

EICAR wurde erkannt, aber nicht blockiert: Die Datei wurde mit 70 Byte auf die Festplatte geschrieben und die Erkennung als Informational protokolliert, zugeordnet zu „Ausführung über Benutzerausführung“. CrowdStrike und Bitdefender lassen EICAR standardmäßig nur erkennen, während die anderen drei es blockieren. Der APTSimulator-Lauf stellte 12 schädliche Binärdateien (mimikatz-Familie plus Recon-Tools) innerhalb von etwa 25 Sekunden nach dem Schreiben auf die Festplatte unter Quarantäne.

Die Erkennungsabdeckung lag bei etwa 12 von 13, nahezu 92 Prozent. Der schwache Bereich ist Persistenz und Log-Tampering: Registrierungs-Run-Schlüssel, geplante Tasks und eine Windows-Eventlog-Löschung wurden erkannt, aber auch unter Phase 2 nicht blockiert. Erkennungen tragen MITRE-Technikebzeichnungen, und die Dashboard-Diagramme stellen Taktiken dar, wobei CrowdStrikes eigene Kategorie „AI Powered IOA“ neben den Standardtaktiken verläuft. Auf Linux wurden alle fünf verhaltensbasierten Tests unter eBPF-Telemetrie mit erwarteter Erkennung nach Heartbeat ausgeführt; die Prävention war deaktiviert, da die Phase-2-Linux-Richtlinie auf „Moderate“ eingestellt war.

Zwei Kategorien sind strukturelle Lücken. Falcon vertreibt keinen dedizierten NDR-Sensor, sodass das Netzwerksignal endpunktbasiert ist, dasselbe Modell wie bei Acronis. E-Mail wird nicht abgedeckt; Trend, Sophos und Bitdefender bündeln E-Mail-Sicherheit, während Falcon ein separates Produkt erwartet.

Reaktion und Behebung

Die Host-Isolierung erfolgt über eine Ein-Klick-Netzwerkisolations-Aktion, die eine Real-Time-Response-Shell für die Remote-Untersuchung offen lässt, nachdem der Host vom Netz getrennt wurde. Wir haben sie nicht live ausgelöst, da der einzelne Testhost erreichbar bleiben musste, aber die Aktion ist sowohl in der Host-Tabelle als auch in der Erkennungsleiste vorhanden.

CrowdStrike kann Verschlüsselung nicht rückgängig machen. Sein Modell besteht darin, vor der Verschlüsselung durch Verhaltensblockierung und Volume Shadow Copy-Schutz zu verhindern, wobei die Wiederherstellung manuell über RTR erfolgt. Sophos gleicht Ransomware-Rollback durch CryptoGuard und Acronis durch natives Backup aus; dies ist daher eine klare Lücke im Vergleich zu diesen beiden.

Die Automatisierung nutzt das integrierte Fusion SOAR mit einem No-Code-Workflow-Builder. Die IOC-Verwaltung unterstützt vier Indikatorentypen (SHA256/MD5-Hash, IP, Domain, URL) mit Bulk-CSV/JSON-Import, indikatorbezogenem Geltungsbereich (Plattform, Host-Gruppe, Ablaufdatum) und einem obligatorischen Audit-Log-Kommentar bei jeder Änderung. Die Bedrohungssuche umfasst Erkennungsfilter-Chips, die Next-Gen-SIEM-Ereignissuche mit vollständigem Ereignis-JSON sowie speicherbare Prozessbäume und Graphen, sodass kein separates SIEM erforderlich ist.

Performance

Der Windows-Agent verbrauchte im Leerlauf etwa 138 MB resident über den CSFalconService-Prozess und vier Container-Hilfsprozesse, mit nahezu null CPU-Auslastung im Leerlauf, etwa drei Mal leichter als Acronis und weit unter Trends Apex One mit 890 MB.

Der Linux-eBPF-Agent lag im Leerlauf bei 43 MB, stieg jedoch unter 10 Minuten Ereignisverarbeitung auf etwa 445 MB an, eine zehnfache Erhöhung, die auf Hosts mit hohem Durchsatz überwacht werden sollte.

Ein On-Demand-Pfad-basierter Scan dauerte etwa 113 Sekunden mit einer wählbaren CPU-Obergrenze von 25, 50 oder 75 Prozent und Scanzeit-NGAV-Schiebereglern, die von der Echtzeitrichtlinie abweichen können. Ein sensorseitiges Machine-Learning-Modell sorgt für teilweisen Schutz bei Internetausfällen, sodass die Erkennung nicht ausschließlich Cloud-basiert ist.

Integration

Zwei Integrationspunkte wurden in der Konsole verifiziert. Die API wird über eine interaktive OpenAPI-Spezifikation mit OAuth2-Authentifizierung und einem 30-Minuten-Token bereitgestellt, unterstützt vom offiziellen FalconPy Python SDK, das über 70 Service-Sammlungen abdeckt, die ausgereifteste API-Oberfläche im Benchmark; Acronis und Bitdefender liefern kein offizielles SDK. Das Next-Gen SIEM ist integriert, und seine Ereignissuche lieferte Treffer mit vollständigem Ereignis-JSON, sodass für die Jagd kein separates SIEM erforderlich ist.

Die SIEM-Schicht (LogScale) fügt native Konnektoren für Splunk, Microsoft Sentinel, QRadar, Elastic und Chronicle hinzu, plus Falcon Data Replicator und eine Streaming-API; der Import von Drittanbieter-Threat-Intelligence deckt TAXII, STIX und MISP ab; und Ticketing läuft über den CrowdStrike Store (ServiceNow nativ, plus Jira, PagerDuty, Slack und Teams) und Fusion SOAR-Webhooks. Diese wurden im Test nicht genutzt.

Threat Intelligence

Die Alert-Anreicherung war das deutlichste Ergebnis in der Konsole. Eine einzelne blockierte Erkennung enthielt einen Prozessbaum, die Befehlszeile, MITRE-Zuordnung, Hash-Details, globale und lokale Verbreitung, 43 kontextbezogene Verhaltensweisen und einen Google Threat Intelligence-Tab aus der Mandiant-Integration. Der Feed agierte in Echtzeit: Die mimikatz-Binärdateien wurden innerhalb von Sekunden beim Schreiben auf die Festplatte unter Quarantäne gestellt.

Laut CrowdStrikes Dokumentation verfolgt das Modul „Counter Adversary Operations“ über 200 namentlich bekannte Gegner, eine der größten Intelligence-Operationen der fünf Tools, mit tieferer Zuordnung hinter der separaten Falcon Intelligence Premium-Stufe. Diese Stufe war in der Navigation sichtbar, wurde aber im Test nicht genutzt.

Berichterstellung

Das Aktivitäts-Dashboard zeigte CrowdScore als eine 0-100-Metrik, neue und aktuelle Erkennungen, SHA-basierte Erkennungen, verhinderte Malware pro Host und ein Diagramm „Erkennungen nach Taktiken“. Ein Dashboard konnte geklont und über ein „Widget hinzufügen“-Panel mit über 30 vordefinierten sowie benutzerdefinierten Widgets bearbeitet werden. Der Export wurde für Tabellen-CSV und auf Vorfallsebene für den Prozessbaum-Graphen und seine Daten über die Aktion „Öffnen/Speichern“ bestätigt, ein pro-Erkennung visueller Export, den die anderen Tools nicht boten.

Dashboards unterstützen auch geplante Zustellung, und die Berichtsausgabe erstreckt sich auf Dashboard-PDF oder -Bild, eine Echtzeit-Streaming-API und E-Mail-Abonnements. Diese Zustellwege wurden im Test nicht genutzt.

3. Sophos Intercept X

Sophos Intercept X liefert EDR, NGAV, Ransomware-Rollback und einen vierstufigen Hunting-Stack über Sophos Central, eine reine Cloud-Konsole.

Installation und Onboarding

Sophos Central ist ausschließlich Cloud-basiertes SaaS; die On-Premises Enterprise Console erreichte 2020 ihr End-of-Life, daher gibt es keine On-Premises- oder Air-Gapped-Option. Dies schließt Air-Gapped-Umgebungen aus, in denen Acronis und Bitdefender die einzigen Kandidaten bleiben, dieselbe Position wie CrowdStrike.

Der Installer ist ein 2,66 MB großer Stub, der mit Abstand kleinste im Benchmark im Vergleich zu Trends 890-MB-Paket, wobei die vollständigen Komponenten zur Installationszeit aus der Cloud abgerufen werden.

Drei Bereitstellungsmethoden werden auf einer einzigen „Installers“-Seite angeboten, und der Agentendownload ist zwei Klicks von der oberen Navigation entfernt. Die Lizenzierung ist dynamisch, sodass das Hinzufügen eines Moduls später keine Neuinstallation erfordert, und ein XDR-Sensor-Modus läuft parallel zu Drittanbieter-AV für Koexistenz.

Die Windows-Installation dauerte etwa 4 Minuten 23 Sekunden mit einem optionalen, nicht erzwungenen Neustart, was zu einer Time-to-Value von nahezu 10 Minuten führte. Der letzte Dialog warnt, dass der Installer jegliche Drittanbieter-Sicherheitssoftware entfernt, sodass Defender und andere AV automatisch deinstalliert werden, was die Migration erleichtert, aber in der Produktion einen benutzerdefinierten Installer erfordert, um unbeabsichtigtes Entfernen zu vermeiden.

Nach der Installation wurde der Endpunkt als online mit aktiviertem Tamper-Schutz und drei Status-Badges (Active Adversary Protection, Isolation, Lockdown) registriert und zog innerhalb von sieben Minuten zwei Signaturaktualisierungen.

Verwaltungskonsole

Die Konsole läuft als einheitliche Oberfläche über mehr als 13 Module: Endpoint, Server, NDR, Email Security, Phish Threat, ZTNA, Identity, Encryption, Firewall, Wireless und mehr. Phish Threat, ein Modul für Security-Awareness-Training und Phishing-Simulation, ist in den anderen vier Tools nicht vorhanden.

Das Threat Analysis Center beherbergt die Erkennungs- und Hunting-Tools. Die Richtlinie ist in 11 separate Basisrichtlinien organisiert, das umfangreichste Richtlinienmodell im Testfeld, mit integriertem DLP, File Integrity Monitoring, Windows-Firewall-Verwaltung, Schutz vor nicht autorisierten Dateien und Linux Runtime Detection.

Die Geräteintegrität gliedert sich in sieben Unterkategorien, die detaillierteste Integritätsansicht der fünf Tools. Die Account Health Check-Funktion, ein Compliance-Audit-Feature, das den Agentenmodus, den Tamper-Schutz, Richtlinien und Ausschlüsse anhand eines Benchmarks anderer Organisationen bewertet, ist spezifisch für Sophos.

Erkennung

Wir führten 13 Windows-Tests durch. Sechs führten zu einem direkten Block: mimikatz, comsvcs LSASS-Dumping (Creds_4b, T1003.001, Critical), ein AMSI-Bypass (AMSI/Bypass-J), ein certutil-Download (T1105) und ein mshta AMSI-Bypass (Critical). Ein Versuch, den Sophos-Dienst über CIM zu stoppen, wurde abgewiesen, wobei alle Selbst-Manipulationsversuche blockiert wurden. EICAR landete als latente Quarantäne, und drei Tests (verschlüsselte PowerShell, rundll32 und eine Windows-Eventlog-Löschung) wurden erkannt, aber nicht blockiert.

Defender-Deaktivierung und Registry-/Taskplaner-Persistenz wurden nicht erkannt. Die Abdeckung lag bei 11 von 13, nahezu 85 Prozent, die höchste im Benchmark, mit starken Ergebnissen sowohl bei der Prävention als auch der Erkennung.

Ein konsistentes Muster unterschied Sophos von Trend: Jeder Block schrieb mehrere Ereignisse in die Konsole, anstatt stillschweigend zu blockieren. Der LSASS-Test beispielsweise erzeugte drei zeitgestempelte Ereignisse (Prozessbeendigung, Signaturerkennung, Artefaktbereinigung), sodass die SOAR-Ansicht genau dem entsprach, was der Agent tatsächlich tat.

Das Dashboard stellt die Abdeckung als MITRE-TTP-Heatmap dar, eine visuelle Darstellung, die die anderen Tools als Balkendiagramme oder Listen rendern, mit über 51 zugeordneten Techniken über den Lauf hinweg und einer Technik-Kennzeichnung pro Erkennung.

Zwei Kategorien befinden sich außerhalb des Endpunkts. Sophos NDR ist ein separat lizenziertes Modul mit eigenem Sensor, das Netzwerk-Alerts in dieselbe Konsole integriert, auf Augenhöhe mit Trend und vor CrowdStrike und Acronis. E-Mail wird über Sophos Email Security abgedeckt, und Identität über Sophos ITDR.

Reaktion und Behebung

CryptoGuard ist die deutlichste Reaktionsstärke. Es erkennt Ransomware-Verschlüsselung verhaltensbasiert über Entropie und einen I/O-Minifilter und stellt betroffene Dateien wieder her, ohne auf Snapshots angewiesen zu sein. CrowdStrike und Trend können Verschlüsselung nicht rückgängig machen; Sophos gleicht Acronis hier durch einen verhaltensbasierten Mechanismus anstelle eines Backup-basierten aus. Die Host-Isolierung ist als Aktion auf dem Gerät vorhanden, und Active Adversary Protection sowie Server Lockdown (Anwendungswhitelisting) fügen Verhaltens- und Härtungsschichten hinzu.

Die Korrelations-Engine erstellte automatisch fallbezogene Alerts sowohl für den Windows- als auch den Linux-Host und zeigte eine übergeordnete Eskalation auf dem Dashboard an („Ein Angreifer versucht, auf Ihre Geräte zuzugreifen“), oberhalb der einzelnen Erkennungen, was einem SOAR-Manager eine übergreifende Ansicht über den granularen Alert-Strom bietet.

Die Schweregradbeurteilung wurde durchgängig als N/V angezeigt. Es gibt keine auto-Priorisierung, sodass ein Analyst bei 56 Erkennungen in 24 Stunden manuell triagieren muss. Für ein Produkt mit dieser Erkennungsbreite ist das eine bedeutende Lücke.

Performance

Die Windows-Laufzeitumgebung verbrauchte etwa 653 MB verteilt auf etwa 16 Prozesse, schwerer als CrowdStrikes 138 MB und im Bereich von Trend, funktionsfähig auf modernen Endpunkten, jedoch beachtenswert auf Hardware mit begrenzten Ressourcen.

Der Linux-Agent war leichter mit etwa 297 MB resident und 846 MB auf der Festplatte, etwa viermal leichter als Bitdefenders Linux-Agent, und installierte in 53,2 Sekunden. Die lokale Prävention (CryptoGuard, Active Adversary Protection und die Anti-Exploit-Schicht) läuft ohne Cloud, sodass der Schutz bei einem Internetausfall bestehen bleibt.

Integration

Die SIEM-Abdeckung umfasst eine zertifizierte Splunk-App, einen zertifizierten Microsoft Sentinel-Konnektor, ein IBM QRadar DSM, den Sophos Data Lake und CEF-Syslog.

Die Plattform bietet eine regionsbezogene REST-API (Bearer-Token plus Mandanten-Header), liefert jedoch kein offizielles Python-SDK, wie es CrowdStrike tut. Der Import von Drittanbieter-Threat-Intelligence umfasst STIX 2.1 und TAXII 2.1 mit benutzerdefiniertem IOC-Upload und YARA/Sigma-Erkennungsregeln, wobei es keinen Ein-Klick-MISP-Konnektor gibt.

Ticketing läuft über zertifizierte ServiceNow- und Jira-Apps, einen integrierten ConnectWise-PSA-Pfad aus der MSP-Herkunft und generische Webhooks.

Threat Intelligence

Die Alert-Anreicherung war das stärkste Ergebnis in der Konsole. Bei Öffnung eines Falls führte Sophos KI zwei separate mimikatz-Regeln zu einer Erzählung zusammen, ordnete auto-sechs ATT&CK-Taktiken zu, benannte den relevanten Technikkontext, bewertete den Schweregrad auf einer Skala von 1 bis 10 und bot drei vorgeschlagene Folge-Jagden an.

Die Textqualität und die proaktiven Folgemaßnahmen gingen über das hinaus, was die KI-Assistenten der anderen Tools produzierten.

Berichterstellung

Die Berichtssammlung ist die umfangreichste im Benchmark, mit mehr als 8 Kategorien und über 20 Vorlagen, die Logs, Endpunkte, E-Mail, Cloud Optix, Web, ZTNA, DNS und eine Hero Reports-Zusammenfassung abdecken.

4. Bitdefender GravityZone

Bitdefender GravityZone führt EPP, EDR, XDR, Risikomanagement, Patching und Compliance von einer Cloud-Konsole und einem modularen Agenten aus.

Installation und Onboarding

GravityZone wird als Cloud-SaaS und laut Datenblatt als On-Premises-Appliance angeboten, die wir nicht getestet haben, sodass Bitdefender gemeinsam mit Acronis zu den beiden Tools mit einem On-Premises-Pfad zählt.

Der Login erzwang einen 2FA-Registrierungsassistenten, mit einer Überspringen-Option, die eine Mandantenrichtlinie deaktivieren kann, und das Dashboard zeigte ein proaktives Wartungsbanner, die einzige Konsole der fünf, die Wartungsfenster im Voraus ankündigte.

Die Bereitstellung bot vier Methoden über einen Assistenten: lokale Installation, ein E-Mail-Link an Benutzer, ein manuelles Relay-Paket und einen konsolengesteuerten Relay-Push, mit einer deutlichen Multi-Mandanten-Isolationswarnung bei den Paketen.

Der Windows-Installer führte einen vierstufigen visuellen Ablauf aus (Vorabprüfungen, Installation, Abschluss) in etwa 250 Sekunden, die langsamste gemessene Windows-Installation, ohne erzwungenen Neustart.

Die Linux-Installation nutzte ein einzelnes 1,04 GB tar mit einem Shell-Skript und war in 52 Sekunden abgeschlossen, die schnellste Linux-Installation, wobei 11 Module aktiviert wurden, darunter ein EventCorrelator, der EDR und SIEM beinhaltet.

Der Installer entfernt konkurrierende AV automatisch. Die Betriebssystem-Matrix ist die umfassendste im Testfeld, mit Legacy-Windows-7/8-Unterstützung über ein Add-on und einem separaten mobilen MTD-Modul.

Verwaltungskonsole

Die Konsole ist die umfassendste einheitliche Oberfläche im Benchmark und umfasst 11 Hauptkategorien: Dashboard, Incidents, Threats Xplorer, Network, Risk Management, Policies, Reports, Quarantine, Accounts, Sandbox Analyzer, Mobile Security und einen Integrationshub, mit einem Attack-Surface-Management-Dashboard und einem Compliance-Manager.

Die Anpassung erfolgt über ein Saved-Views-System mit über 30 standardmäßigen Smart Views in den Bereichen Incidents, Response, Threats Xplorer und Network, der reichhaltigste Satz der fünf Tools. Der Editor für benutzerdefinierte Erkennungsregeln ist ein vierstufiger Builder mit EDR- und XDR-Kennzeichnungen und einer VERIFY-Schaltfläche, die die Regelsyntax vor dem Speichern validiert, eine Pre-Save-Prüfung, die die anderen Tools nicht bieten.

RBAC kombiniert fünf granulare Rechte (Netzwerke verwalten, Daten anzeigen und analysieren, erweiterte Untersuchung, Endpunkteinstellungen verwalten, schreibgeschützt) mit einer Login-Sicherheitsrichtlinie, die Passwortalter, Sperrung und gleichzeitige Sitzungen abdeckt, und weist Rollen gegenüber Zielgruppen als zweite Achse zu.

Erkennung

Wir isolierten die EDR-Engine, indem wir vier PowerShell-Ausführungsversuche über WMI durchführten. Bitdefender blockierte auf drei Ebenen: Der codierte Befehl wurde beim Prozessstart abgewiesen, ein Laufzeit-PowerShell-Aufruf wurde von der Verhaltens- und AMSI-Schicht abgefangen, und ein per SMB abgelegtes Skript wurde beim Dateiscan gesperrt; ein einfacher cmd-Umleitung war erfolgreich, da das Verhaltensmuster auf von WMI gespawnter PowerShell abzielte.

Der Lauf erzeugte zwei Vorfälle, wobei der Hauptvorfall 11 Alerts, 9 Artefakte, eine Blockierungsaktion und 12 MITRE-Sub-Techniken für einen cmd.exe-Trigger protokollierte.

EICAR wurde beim Schreiben unter Quarantäne gestellt. Die cmd-basierte Ransomware-Simulation wurde unter der Standardrichtlinie nicht erkannt, wie oben erwähnt. Unter Linux liefen alle fünf Verhaltenstests und protokollierten einen korrelierten Vorfall mit Schweregrad 44 im Berichtsmodus, da die Linux-Prävention standardmäßig deaktiviert ist. Die Verhaltensengine ist HyperDetect, eine konfigurierbare Pre-Execution-Schicht, die mit über 340 Merkmalen in den Stufen Permissive, Normal und Aggressive dokumentiert ist.

Die MITRE-Zuordnung war eine klare Stärke. Ein einzelner Windows-Vorfall zeigte 12 Sub-Techniken, ein einzelner Linux-Vorfall über 14, mit Sub-Technik-Granularität (wie T1059.001 und T1564.004) direkt in der Benutzeroberfläche, tiefgehender als die Taktik-Zuordnung, die die anderen Tools tendenziell anzeigen.

Die Netzwerk-Erkennung erfolgt über einen separat lizenzierten Sensor, der eine eigene VM benötigt, den wir nicht bereitgestellt haben, und die Identitätsabdeckung umfasst sechs native Konnektoren (Office 365, Active Directory, Azure AD, Intune, Google Workspace, Okta).

Reaktion und Behebung

Die auto-Zurückweisung auf Prozessebene ist standardmäßig aktiviert, und eine Isolierungsaktion befindet sich direkt im Erkennungsdetails-Panel, obwohl wir sie auf dem einzelnen Testhost nicht live ausgelöst haben. Die Quarantäne enthielt vier Dateien (EICAR plus drei Verhaltenserkennungen) mit Aktionen zum Wiederherstellen, Abrufen, Leeren und Löschen.

Ransomware-Mitigation ist entropiebasiert und führt ein proprietäres In-Memory-Backup unabhängig von Volume Shadow Copy durch, mit einer Aufbewahrung von bis zu 30 Tagen, was es resistent gegen VSS-Deaktivierungsangriffe macht.

Es handelt sich um einen Mitigierungs- und Wiederherstellungsmechanismus und nicht um eine dedizierte Rollback-Engine wie Sophos CryptoGuard, und unter der Standardrichtlinie erkannte es die cmd-Simulation mit niedriger Entropie nicht.

Die Reaktionsautomatisierung verwendet einen fünfstufigen Workflow, der über Smart Views und einen auto-Reaktionsumschalter für benutzerdefinierte Regeln verfolgt wird, sodass eine Workflow-Verfolgung vorhanden ist, jedoch kein vollständiger Playbook-Designer. Die Jagd umfasst den benutzerdefinierten Regel-Builder, die Suche, die Threats Xplorer-Workbench mit ihren eigenen gespeicherten Ansichten, eine Drei-Tab-Vorfallansicht (Graph, Events, Response) und einen IOC-Scan, der eine Hash- oder IP-Liste als Aufgabe an Endpunkte sendet.

Performance

Der Windows-Agent verbrauchte etwa 1174 MB resident über sieben Prozesse, wobei der Hauptdienst allein etwa 1005 MB belegte, 1655 MB auf der Festplatte und CPU-Auslastung von etwa 1 Prozent im Leerlauf; Defender wurde in den passiven Modus versetzt, sodass es keinen Konflikt gab.

Der Linux-Agent verbrauchte etwa 1264 MB über acht modulare Prozesse. Beide sind etwa zehnmal so groß wie der Fußabdruck von CrowdStrike, funktionsfähig auf modernen Endpunkten mit 8 GB oder mehr, aber ein Punkt, den es auf 4-GB-Hardware zu beachten gilt; das modulare Prozessdesign isoliert einen Modulabsturz auf Kosten des RAM-Verbrauchs. Das Scannen bietet vier Empfindlichkeitsstufen (Aggressive, Normal, Permissive, Custom), drei Scan-Typen und Bereichsumschalter für Bootsektoren, Betriebssystem, Registrierung und Archive.

Die Scan-Engine kombiniert Central Scan (Cloud-unterstützt) mit einem Hybrid-Scan-Fallback, der offline mit reduzierter Erkennungsrate funktioniert.

Integration

Die SIEM-Abdeckung erfolgt in drei Schichten: ein nativer Splunk-Konnektor über HEC, ein generischer Syslog-Forwarder für QRadar, Elastic und Sentinel sowie eine Event-Push-Service-API; es gibt keine eigene integrierte SIEM-Engine von Bitdefender.

Die API ist JSON-RPC 2.0 anstelle von REST, authentifiziert mit HTTP-Basic, bietet acht Dienste mit einer Begrenzung von 10 Anfragen pro Sekunde, ohne OAuth und ohne offizielles SDK, sodass REST-geformte Integrationsskripte einen benutzerdefinierten Envelope benötigen. Drittanbieter-Threat-Intelligence erfolgt eingehend über einen manuellen IOC-Scan (CSV-Hash-, IP- oder Domain-Listen); es gibt kein automatisches STIX-, TAXII- oder MISP-Feed-Abonnement, obwohl Bitdefender Skripte zur Übersetzung seiner eigenen Telemetrie nach außen bereitstellt. Ticketing deckt Atlassian und HALOPSA ab, ohne nativen ServiceNow-Konnektor.

Threat Intelligence

Bitdefender Labs veröffentlicht aktive Forschung, einschließlich der Übernahme des VPN der Operation Saffron VPN und einer Analyse der APT FamousSparrow, die live in einem Konsolen-News-Widget angezeigt wurde.

Der Cloud-Feed aktualisiert neue Indikatoren innerhalb von etwa fünf Minuten, mit stündlichen Agenten-Inhaltsprüfungen über das Arrakis-CDN. Die Alert-Anreicherung war stark und kombinierte eine interne Taxonomie (wie HPC.Malicious unter Windows und eine Leck-Präfix-Familie unter Linux) mit MITRE-Zuordnung, der erkennenden Technologie und dem Modul sowie der Elternprozesskette.

Zwei Anreicherungspfade befinden sich hinter dem IntelliZone-Add-on: vollständige Bedrohungsakteur-Zuordnung (Basis-XDR enthält MITRE-Technik-Tags, aber keine Akteursprofile) und externe Reputationsabfragen wie VirusTotal. Die zitierte Drittanbieter-Validierung ist stark: die AV-Comparatives EDR 2026 100-Prozent-Telemetrie-Zertifizierung und ein AV-TEST 105/105-Ausdauer-Score.

Berichterstellung

Die Berichtsbibliothek umfasst über 10 integrierte Vorlagen aus den Bereichen Sicherheitsbetrieb, Compliance und Kapazität (Anti-Phishing, Malware-Aktivität, Top-10-Listen, Endpunkt- und Patch-Status, Lizenznutzung, ein Indicators-of-Risk-Bericht, der an das Risikomanagement gebunden ist, und blockierte Anwendungen) sowie einen speziellen Ransomware-Aktivitätsbericht. Berichte können sofort oder nach einem stündlichen, täglichen oder wöchentlichen Zeitplan mit Zielgruppen-Scoping ausgeführt werden.

Der Export umfasst eine PDF-Zusammenfassung, eine CSV-Detaildatei und ein ZIP-Archiv mit E-Mail-Zustellung, jedes unabhängig auswählbar. Es gibt keinen nativen JSON- oder XML-Export, sodass strukturierte Automatisierung über die öffentliche API erfolgt.

5.Trend Micro Vision One

Trend Micro Vision One ist eine Cloud-Plattform mit 15 Modulen, die Endpunkte, E-Mail, Netzwerk, Identität, Cloud und Risikomanagement abdeckt, wobei der XDR-Sensor und der Apex-One-Präventionsagent als separate Komponenten bereitgestellt werden.

Installation und Onboarding

Vision One ist ausschließlich Cloud-basiert, ohne On-Premises-Konsole; die Plattform verbindet jedoch bestehende On-Premises-Apex-Central- und Deep-Security-Manager-Implementierungen über einen Konnektor auf dem Activate-Bildschirm, sodass sie besser für hybride Umgebungen geeignet ist als ein reines Cloud-Produkt.

Die Bereitstellung ist die aufwändigste im Benchmark, da der Schutz zwei Agenten erfordert. Der Vision One Endpoint Security Sensor (ein 9,3 MB großer Bootstrap) installiert sich schnell, liefert jedoch nur Telemetrie; die Konsole kennzeichnet Anti-Malware und Verhaltensüberwachung als nicht unterstützt, bis eine Standard-Endpoint-Protection-Instanz (Apex One) erstellt und ihr separater Agent bereitgestellt wird.

Dieses zweite Paket ist 890 MB groß, das größte im Benchmark und etwa zehnmal so groß wie das von CrowdStrike, und erfordert aufgrund seiner Kernel-Treiber einen Neustart. Von Anfang bis Ende betrug die Time-to-Value 15 bis 20 Minuten für Installation und Neustart, die längste gemessene; der Sensor selbst benötigte weitere 23 Minuten, um den Zustand „Running“ zu erreichen, und eine Erfassung des Download-Ordners bestätigte die beiden Binärdateien nebeneinander. Die Lizenzierung erfolgt granular pro Betriebssystem, weshalb Linux nicht in den getesteten Bereich fiel.

Verwaltungskonsole

Die linke Navigation umfasst 15 Module, das breiteste Portfolio der fünf Tools. Email and Collaboration Security und Identity Security sind separate Hauptmodule, Network Security wird von der NDR-Appliance Deep Discovery Inspector gespeist, und Cyber Risk Exposure Management vereint Schwachstellenmanagement, Angriffspfadvorhersage und Phishing-Simulation an einem Ort. Ein Companion AI-Assistent ist konsolenweit und nicht nur in einem einzelnen Chat-Panel verfügbar.

Zwei Einschränkungen relativieren die Breite. Erstens tragen mehrere Funktionen Vorschau-, Vorabversion- oder Demnächst-Kennzeichnungen (Richtlinienvereinheitlichung, Log Inspection, Integrity Monitoring, Sandbox-Analyse), sodass sich die Plattform noch in der Entwicklung und nicht vollständig konsolidiert befindet.

Zweitens, und folgenreicher, brach der Anspruch der einheitlichen Oberfläche im Test zusammen: Die Tests für mshta, rundll32 und LSASS-Dump wurden von der Apex-One-Verhaltensüberwachung blockiert, erzeugten jedoch keinen Eintrag in Endpoint Alerts, der Tabelle der beobachteten Angriffstechniken oder der Workbench.

Die Konsole wirkt einheitlich, aber Apex One und der Vision One-Sensor laufen als zwei Pipelines, und ein in der Workbench arbeitender Analyst sieht die Verhaltensüberwachungs-Blocks nicht.

Erkennung

Wir führten 16 Windows-Tests durch, und die Ergebnisse verteilten sich auf drei Mechanismen mit drei unterschiedlichen Sichtbarkeitsstufen.

Die signaturbasierte Erkennung war stark und vollständig protokolliert: EICAR wurde über drei Kanäle (Endpoint-Toast, OAT und Endpoint Alerts) erkannt und blockiert, und eine mimikatz-Binärdatei wurde vor der Ausführung unter Quarantäne gestellt, mit umfassender ATT&CK-Anreicherung.

Die Anreicherung war die tiefgreifendste der fünf Tools und kennzeichnete nicht nur die MITRE-Technik, sondern auch die spezifische Software-ID für mimikatz sowie Trends eigene Intelligence- und Pattern-Identifikatoren. Der Selbst-Manipulationsschutz hielt: Vier Versuche, den Echtzeit-Scanner von Apex One zu stoppen, wurden alle auf Service-Control-Ebene abgewiesen.

Die Silobildung zeigte sich in stillen Blockierungen. Die Tests für mshta, rundll32 und comsvcs LSASS-Dump wurden alle auf dem Endpunkt gestoppt, erreichten jedoch kein Konsolen-Panel, sodass ein Analyst trotz erfolgreichem Block keinen Vorfall sehen würde.

Mehrere Tests wurden vollständig verpasst: codierte PowerShell, ein certutil-Download, AMSI-Bypass, Eventlog-Löschung, Defender-Deaktivierung und die engen Fälle von Registry-Run- und Taskplaner-Persistenz wurden alle ohne Erkennung durchgeführt. Trends Persistenzregeln bevorzugen hochwertige Muster (sethc, mimikatz) gegenüber generischer Registry- oder Aufgabenerstellung. Die effektive Nettoabdeckung lag bei etwa 8 von 16, mit 8 Verpassten.

Wo Vision One herausstach, war die Korrelation. Ein einzelner Workbench-Insight wuchs im Testzeitraum von 2 Alerts und 1 Phase (Medium, Score 40) auf 147 Alerts und 6 Phasen (Critical), da Lateral-Movement- und APTSimulator-Tests eintrafen, und rekonstruierte Prozessbaum und Kill-Chain automatisch.

Der Nachteil ist die Latenz: Signatur-Alerts erreichten Endpoint Alerts in etwa 4 Minuten, aber Workbench-Insights verzögerten sich um 30 bis 90 Minuten. Dieses Fenster eignet sich für forensische SOC-Arbeit, nicht für Echtzeit-Reaktion. Eine 90-minütige Verzögerung, bevor ein Verhaltensvorfall in der Workbench erscheint, ist für die Nachuntersuchung von Vorfällen in Ordnung. Es ist ein Problem, wenn Ihr SOC erwartet, von dieser Konsole aus auf Live-Angriffe zu reagieren.

Reaktion und Behebung

Die Host-Isolierung ist über das Aktionsmenü des Endpunktinventars verfügbar, wurde jedoch nicht live ausgelöst.

Die deutlichste Lücke ist die Ransomware-Wiederherstellung: Vision One bietet Damage Cleanup (Entfernen von Malware-Artefakten), jedoch kein Rollback verschlüsselter Dateien, dieselbe Schwäche wie CrowdStrike und das Gegenteil von Sophos CryptoGuard und der Backup-Wiederherstellung von Acronis. Quarantäne und eine integrierte SOAR-Schicht (Security Playbooks, Case Management, API Automation Center) sind in der Navigation vorhanden; die Playbook-Engine wurde nicht eingehend getestet.

Performance

Der Laufzeit-Fußabdruck war der schwerste gemessene: etwa 621,8 MB RAM über 14 Prozesse, mit einer Leerlauf-CPU-Auslastung von etwa 9,7 Prozent, etwa 4,5-mal so viel wie der Agent von CrowdStrike und deutlich über den anderen. Das Gewicht resultiert aus dem parallelen Betrieb von Apex-One-Anti-Malware, Verhaltensüberwachung und dem Vision-One-Sensor. Positiv ist, dass Apex One offline-fähig ist: Seine Präventionsschicht funktioniert auch bei Internetausfällen, während die Sichtbarkeit des Sensors pausiert. On-Demand-Scan bietet einen CPU-Cap-Schieberegler, wurde aber nicht gemessen.

Integration

Vision One verfügt über ein integriertes SIEM (das Agentic SIEM und XDR-Modul mit Data Source und Log Management sowie einer XDR Data Explorer-Abfrageschnittstelle), sodass keine separate Splunk-Bereitstellung erforderlich ist, und es unterhält auch native Splunk-, Sentinel- und QRadar-Konnektoren. Die REST-API ist regionsbezogen mit OAuth2 und einem veröffentlichten Python SDK (pytmv1), auf einer Stufe mit der Entwickler-Oberfläche von CrowdStrike.

Der Unterschied liegt in der Drittanbieter-Threat-Intelligence: TAXII-Feeds und MISP werden nativ über eine eigene Seite unterstützt, das einzige Tool der fünf, das dies tut, was für europäische CERT-Ökosysteme, in denen MISP Standard ist, von Bedeutung ist. Benutzerdefinierte IOCs (Hash, IP, Domain, URL) werden über Suspicious Object Management verwaltet. Ticketing-Konnektoren (ServiceNow, Jira, Slack, Teams) sind dokumentiert, wurden aber in der Konsole nicht verifiziert.

Threat Intelligence

Der Forschungshintergrund von Trend ist ausgereift, verankert durch Trend Research und die Zero Day Initiative, die den jährlichen Pwn2Own-Wettbewerb sponsert und bei offengelegten Schwachstellen führend ist. Der Threat-Feed schnitt im Test gut ab und erkannte mimikatz anhand seiner spezifischen Software-ID und nicht als generischen Credential-Dumper, wobei der Cloud-Lookup des Smart Protection Network die Binärdatei innerhalb von etwa einer Minute nach dem Eintreffen erfasste. Attack Surface Discovery auto-erkannte innerhalb von Minuten nach der Registrierung zwei CVEs auf dem Host und erstellte einen 8-Faktoren-Risikowert.

Die Alert-Anreicherung war die stärkste der fünf für signaturbasierte Erkennungen und kombinierte MITRE-Zuordnung, Software-IDs, Trends Intelligence- und Pattern-Identifikatoren, einen Prozessbaum und eine Zeitleiste. Der gleiche Silo-Vorbehalt gilt: Verhaltensüberwachungs-Blocks erreichen nie die Konsole und erhalten daher auch keine Anreicherung. Die Gegnerzuordnung ist kampagnen- und familienorientiert (FIN7, APT41, Earth) und nicht namentlich wie der Katalog von CrowdStrike.

Berichterstellung

Vordefinierte Vorlagen decken Executive-, Betriebs- und Compliance-Berichterstattung (PCI DSS, HIPAA, ISO 27001) zusammen mit dem Cyber Risk Overview-Dashboard ab, mit benutzerdefinierten und geplanten Berichten sowie Multi-Format-Export (PDF, Excel, CSV) plus E-Mail-Zustellung. Companion AI kann Dashboard-Widgets konversationell abfragen und antwortete im Test auf Türkisch, ein Anreicherungspfad, den die anderen Konsolen nicht auf diesem Niveau boten.

6. Stellar Cyber Open XDR

Stellar Cyber ist die führende Open-XDR-Plattform, aufgebaut auf einer herstellerunabhängigen Architektur, die Telemetrie von jedem vorhandenen Sicherheitstool über mehr als 400 vorgefertigte Konnektoren aufnimmt.1 Anstatt von Unternehmen zu verlangen, ihre aktuellen EDR-, NGFW- oder Identitätstools zu ersetzen, setzt Stellar Cyber auf den bestehenden Stack auf und bietet eine einheitliche Erkennung, Untersuchung und Reaktion über alle Eingaben hinweg.

xdr solutions diagram

Quelle: Stellar Cyber

Hauptfunktionen:

  • Offene Architektur: 400+ Konnektoren, die von jedem EDR, NGFW, Identitätsanbieter oder jeder Cloud-Plattform aufnehmen
  • Einzellizenz, die SIEM, NDR, XDR und UEBA abdeckt
  • Interflow-Ereignismodellierung für quellübergreifende Angriffskettenkorrelation
  • KI-gesteuerte Triage, Alert-Korrelation und Fallerstellung
  • Agentic AI-Fähigkeiten für erste Untersuchungen und Fallzusammenfassungen

Einschränkungen:

  • Die Plattform ist für Organisationen mit 50–500 Mitarbeitern und mittelgroße Sicherheitsteams optimiert; unternehmensweite Anpassungen und fortgeschrittene forensische Tiefe können hinter CrowdStrike und Palo Alto zurückbleiben
  • Die Aufnahmebreite von Open XDR erfordert eine sorgfältige Konnektorkonfiguration; die Erkennungsqualität hängt von der Qualität der Telemetrie der Quelltools ab
  • Kleineres Partner- und Integrations-Ökosystem als native XDR-Anbieter mit längerer Marktpräsenz

7. SentinelOne Singularity XDR

SentinelOne Singularity XDR ist eine native XDR-Plattform, die für ihre KI-gesteuerte Erkennung und Reaktion auf der Endpunktebene bekannt ist und über einen einzigen einheitlichen Data Lake auf Cloud-Workloads, Identität und Netzwerk ausgeweitet wird.

Purple AI ist die Natural-Language-Threat-Hunting-Oberfläche von SentinelOne, mit der Analysten den Singularity Data Lake in natürlicher Sprache abfragen und Untersuchungszusammenfassungen, Threat-Hunt-Ergebnisse sowie empfohlene Behebungsschritte erhalten können.

Hauptfunktionen:

  • Autonome Bedrohungserkennung und One-Click-Rollback für Ransomware ohne Analysteneingriff
  • Storyline für automatische Ursachenanalyse und die Erstellung von Angriffserzählungen

Einschränkungen:

  • Einige Benutzer berichten, dass übermäßig aggressives Blockieren legitimer Tools, einschließlich Entwickleranwendungen, blockiert wurde, was eine manuelle Ausnahmeverwaltung erfordert
  • Bei großen Bereitstellungen wurden Probleme mit Agent-Duplizierung in der Verwaltungskonsole gemeldet

8. Cisco XDR

Cisco XDR ist eine Cloud-native XDR-Plattform, die das ausgemusterte Cisco SecureX ablöste. Cisco XDR korreliert Telemetrie aus dem Sicherheitsportfolio von Cisco sowie Drittanbieter-Integrationen. Organisationen, die die Erkennungs- und Reaktionsfähigkeiten von Cisco bewerten, sollten auf Cisco XDR verweisen, nicht auf SecureX, das vollständig ausgemustert wurde.

Die Plattform ist eine natürliche Wahl für Organisationen, die bereits die Netzwerk- und Sicherheitsinfrastruktur von Cisco nutzen, da die native Telemetriekorrelation zwischen Cisco Secure Firewall, Catalyst-Switches und Endpunkt-Agenten den Integrationsaufwand erheblich reduziert.

Hauptfunktionen:

  • Native Integration im gesamten Sicherheitsportfolio von Cisco (Endpunkt, Netzwerk, E-Mail, Identität)
  • Drittanbieter-Integrationen, die die Abdeckung über das Cisco-Ökosystem hinaus erweitern
  • Automatisierte Vorfalluntersuchung mit priorisierter Alert-Korrelation
  • Integration mit Cisco Talos Threat Intelligence

Einschränkungen:

  • Der Nutzen ist für Organisationen, die in das bestehende Sicherheitsportfolio von Cisco investiert haben, deutlich höher; Organisationen mit Nicht-Cisco-Infrastruktur werden weniger nativen Integrationsnutzen sehen
  • Cisco XDR ist ein relativ junges Produkt; die Funktionstiefe bleibt in einigen Bereichen hinter etablierteren nativen XDR-Plattformen zurück
  • Im Gegensatz zu SecureX, das kostenlos in Cisco-Sicherheitslizenzen enthalten war, erfordert Cisco XDR eine separate kostenpflichtige Lizenz, eine bedeutende Kostenänderung für bestehende Cisco-Kunden
Entdecken Sie weitere unserer Benchmarks und datengestützten Erkenntnisse in der Google-Suche.
GoogleAls bevorzugte Quelle hinzufügen

9. Exabeam New-Scale Security Operations Platform

Exabeam wurde zuvor als SIEM- und XDR-Plattform positioniert. Seit Januar 2026 vermarktet Exabeam sein Hauptangebot als New-Scale Security Operations Platform (vertrieben als New-Scale Fusion), was die erweiterten Fähigkeiten widerspiegelt, die über traditionelle SIEM- und XDR-Funktionen hinausgehen.2

Hauptfunktionen:

  • New-Scale Fusion Plattform: SIEM, UEBA und XDR in einer einheitlichen Architektur
  • Agent Behavior Analytics (ABA) für die Überwachung von KI-Agenten (Januar 2026)
  • AI Usage Security zur Erkennung riskanter Interaktionen von Mitarbeitern mit KI-Tools
  • Verhaltensanalytik mit über 50 vordefinierten Bedrohungsszenarien, die MITRE ATT&CK zugeordnet sind
  • Integration mit über 500 Sicherheits- und IT-Datenquellen
  • Ergebnisorientierte Anwendungsfälle mit vorgefertigten Inhalten für häufige Bedrohungstypen

Einschränkungen:

  • Die Umbenennung der Plattform von SIEM+XDR zu New-Scale kann zu Verwirrung bei der Beschaffung führen; Käufer sollten überprüfen, welche Funktionen in der Basislizenzierung gegenüber Add-ons enthalten sind
  • ABA und AI Usage Security sind neu eingeführt; die Produktionsreife und die Erkennungsabdeckung sollten validiert werden, bevor man sich bei kritischen Anwendungsfällen darauf verlässt

10. Microsoft Defender XDR

Microsoft Defender XDR ist eine native XDR-Plattform, die Signale über Microsoft Defender for Endpoint, Defender for Identity, Defender for Office 365 und Microsoft Sentinel zu einer einheitlichen Vorfalluntersuchungserfahrung korreliert.

Der wichtigste Wettbewerbsvorteil der Plattform ist die Ökosystem-Integration: native Konnektivität zu Entra ID, Intune, Azure und dem gesamten Microsoft 365-Stack eliminiert den Integrationsaufwand, der erforderlich ist, um dieselbe Abdeckung mit einem Drittanbieter-XDR zu erreichen. Microsoft Sentinel dient als zugrunde liegendes SIEM und Data Lake.

Hauptfunktionen:

  • Vereinheitlichte Vorfallansicht, die Signale über Endpunkt, Identität, E-Mail und Cloud hinweg korreliert
  • Microsoft Sentinel als SIEM- und SOAR-Schicht mit über 500 Datenquellen-Konnektoren
  • Security Copilot-Integration für Natural-Language-Untersuchung und Berichterstellung

Einschränkungen:

  • Die Erkennungswirksamkeit ist unter Windows stark, jedoch schwächer auf macOS- und Linux-Endpunkten. Umgebungen ohne Microsoft-Stack erfordern möglicherweise eine mehrschichtige Abdeckung
  • Die Verwaltung der Plattform erfordert das Navigieren durch mehrere Konsolen (Defender-Portal, Sentinel-Arbeitsbereich, Entra Admin Center), was die kognitive Belastung der Analysten im Vergleich zu Einzelkonsolen-Wettbewerbern erhöht
  • Die Lizenzierungsstufen (E3, E5, Defender-Add-ons, Copilot for Security) sind komplex; die Gesamtkosten erfordern eine sorgfältige Planung

11. Palo Alto Cortex XDR

Palo Alto Networks Cortex XDR ist eine native XDR-Plattform, die Endpunkt-, Netzwerk- und Cloud-Telemetrie mit Palo Altos Firewall- und Prisma-Infrastruktur integriert, um eine einheitliche Erkennungs- und Reaktionsebene zu bieten.

Cortex XSIAM ist die umfassende Plattformantwort von Palo Alto auf den agentenbasierten SOC-Markt. Während Cortex XDR die Erkennung und Reaktion für Endpunkte und Netzwerke übernimmt, konsolidiert Cortex XSIAM SIEM, XDR, SOAR und Attack Surface Management auf einer einzigen Plattform, die von über 10.000 Detektoren und 2.600+ ML-Modellen unterstützt wird, mit über 500 vorgefertigten Automatisierungs-Playbooks.3

Hauptfunktionen:

  • 100% Erkennung auf Technikebene in MITRE ATT&CK Runde 6
  • Verhaltensbasierter Bedrohungsschutz über Endpunkt, Netzwerk, Cloud und Identität über einen einzigen Agenten
  • Vorfallansichten, die Alerts zu einer einheitlichen Angriffsgeschichte mit Ursachenanalyse und Auswirkungsbereich zusammenfügen
  • Native Integration mit Palo Alto-Firewalls und Prisma SASE für kombinierte Netzwerk- und Endpunkt-Sichtbarkeit

Einschränkungen:

  • Der größte Nutzen wird innerhalb des Palo Alto-Ökosystems (Firewalls, Prisma) erzielt; Organisationen ohne bestehende Palo Alto-Infrastruktur haben einen höheren Bereitstellungsaufwand
  • Cortex XDR wird durchweg am oberen Ende des XDR-Preisspektrums eingestuft; die Gesamtbetriebskosten des Modells sind früh, einschließlich PRO-Lizenzierung

Gemeinsame Funktionen

Alle überprüften Plattformen umfassen die folgenden Standardfähigkeiten:

  • Domänenübergreifende Telemetrie-Erfassung: Alle Plattformen erfassen Daten von einem Endpunkt und mindestens einer weiteren Sicherheitsdomäne (Netzwerk, Cloud, Identität oder E-Mail). Abdeckungsumfang und -tiefe variieren; Käufer sollten ihre spezifischen Telemetriequellen mit dem Konnektorkatalog jedes Anbieters abgleichen, bevor sie eine Vorauswahl treffen.
  • Vereinheitlichte Vorfallerkennung: Alle Plattformen korrelieren Multi-Source-Telemetrie zu konsolidierten Vorfällen, anstatt einzelne Alerts von jedem Tool anzuzeigen. Dies ist das zentrale XDR-Wertversprechen, das es von eigenständigem EDR unterscheidet.
  • MITRE ATT&CK-Ausrichtung: Alle Plattformen ordnen Erkennungen den Taktiken und Techniken von MITRE ATT&CK zu und ermöglichen so eine einheitliche Bedrohungskategorisierung und Lückenanalyse gegenüber dem Framework.
  • Automatisierte Reaktionsaktionen: Alle Plattformen unterstützen automatisierte oder halbautomatische Reaktionen wie das Isolieren von Endpunkten, das Blockieren von IPs und das Zurückziehen von Anmeldeinformationen, wobei der Automatisierungsgrad und die abgedeckten Domänen erheblich variieren.
  • Threat-Intelligence-Integration: Alle Plattformen enthalten oder integrieren Threat-Intelligence-Feeds. CrowdStrike (Adversary Intelligence), Palo Alto (Unit 42) und Cisco (Talos) betreiben proprietäre Threat-Research-Teams mit globaler Abdeckung.
  • Compliance-Protokollierung und -Berichterstattung: Alle Plattformen führen prüfbereite Protokolle der Erkennungs- und Reaktionsaktivitäten. SIEM-integrierte Plattformen bieten eine breitere Compliance-Abdeckung.

XDR vs. EDR vs. SIEM

Diese drei Kategorien überschneiden sich im Anbietermarketing erheblich, aber jede löst ein anderes Problem hinsichtlich des Umfangs.

  • EDR (Endpoint Detection and Response) überwacht und reagiert auf Bedrohungen auf Endpunktgeräten wie Laptops, Servern und Workstations. Es sammelt Telemetrie vom Endpunkt-Agenten, erkennt Verhaltensanomalien und ermöglicht Analysten die Untersuchung und Eindämmung von Bedrohungen auf einzelnen Geräten.
  • XDR erweitert EDR über mehrere Sicherheitsebenen hinweg. Wo EDR den Endpunkt abdeckt, erfasst und korreliert XDR Telemetrie von Endpunkten, Netzwerken, Cloud-Workloads, Identitätssystemen und E-Mail in einer einheitlichen Erkennungs- und Reaktionsplattform. Die domänenübergreifende Korrelation ermöglicht es XDR, Angriffsketten sichtbar zu machen, die in separaten Tools als unzusammenhängendes Rauschen erscheinen.
  • SIEM (Security Information and Event Management) sammelt und speichert Protokolldaten aus der gesamten Umgebung für Bedrohungserkennung, Compliance-Berichterstattung und historische Untersuchungen. Traditionelles SIEM ist passiv: Es alarmiert bei Regelübereinstimmungen und speichert Daten für Abfragen. Moderne SIEM-Plattformen konvergieren mit XDR und SOAR, wobei Anbieter wie Microsoft (Sentinel + Defender XDR) und CrowdStrike (Falcon Next-Gen SIEM) SIEM als Datenschicht unter einer XDR-Erkennungs-Engine behandeln.

Native XDR vs. Open XDR

Der XDR-Markt hat sich formal in zwei unterschiedliche Architekturmodelle aufgeteilt, die grundlegend unterschiedliche Kaufentscheidungen bedingen.

  • Native XDR ist eine Einzelanbieter-Plattform, die die eigenen Endpunkt-, Netzwerk-, Cloud- und Identitätsprodukte des Anbieters in einer einheitlichen Erkennungs- und Reaktionsebene integriert. CrowdStrike Falcon, Microsoft Defender XDR und SentinelOne Singularity sind native XDR-Plattformen. Der Vorteil ist die tiefe Integration und ein einheitliches Datenmodell; der Kompromiss besteht darin, dass man sich in ein Anbieter-Ökosystem einkauft.
  • Open XDR ist herstellerunabhängig: Es erfasst Telemetrie von jedem vorhandenen Sicherheitstool im Stack und bietet eine einheitliche Erkennung, Untersuchung und Reaktion auf Basis dieser Eingaben, ohne ein „Rip-and-Replace“ zu erfordern.

KI-gesteuertes XDR

  • KI-unterstützte Erkennung nutzt maschinelle Lernmodelle, die auf gegnerischem Verhalten trainiert wurden, um Bedrohungen zu identifizieren, die signaturbasierte Regeln umgehen. Anomaly-Erkennung, Peer-Group-Verhaltensanalyse und Indikatoren für Angriffe (IOAs) sind die primären Mechanismen. CrowdStrikes IOA-Framework, SentinelOnes Storyline und Palo Altos über 2.600 ML-Modelle in XSIAM repräsentieren ausgereifte Implementierungen dieses Ansatzes.
  • Natural-Language-Untersuchung ermöglicht Analysten, Plattformdaten abzufragen und Untersuchungszusammenfassungen in natürlicher Sprache zu generieren. SentinelOne Purple AI, Microsoft Security Copilot, CrowdStrike Charlotte AI und Exabeams Natural-Language-Abfrage ermöglichen es Analysten, Fragen wie „Welche Lateral-Movement-Aktivitäten gab es in den letzten 72 Stunden?“ zu stellen, anstatt Erkennungsabfragen manuell zu schreiben.
  • Agentic AI: KI-Systeme, die mehrstufige Untersuchungs- und Reaktions-Workflows autonom ohne menschliches Eingreifen in jedem Schritt ausführen, sind die am stärksten vermarktete Fähigkeit im XDR-Bereich 2026 und gleichzeitig die am meisten überschätzte. Laut einem Bericht vom März 2026, der auf über 30 Anbieter-Briefings und CISO-Interviews basiert, übernehmen die meisten Produktionsbereitstellungen agentischer SOC-Funktionen Anreicherung, Zusammenfassung und Berichterstellung, jedoch keine autonome Behebung. Gartner beziffert die Unternehmensakzeptanz von KI-SOC-Agenten auf 1–5 %. CrowdStrike Agentic MDR, Microsoft Security Alert Triage Agent und Exabeam ABA stellen die bisher am klarsten umrissenen agentischen Fähigkeiten dar; alle behalten die menschliche Aufsicht für risikoreiche Entscheidungen bei.4

FAQs

Extended Detection and Response (XDR) ist eine Kategorie von Sicherheitsplattformen, die Telemetrie aus mehreren Sicherheitsebenen erfasst und in einem einheitlichen Erkennungs-, Untersuchungs- und Reaktionssystem korreliert. XDR ersetzt den Silo-Ansatz zur Verwaltung separater EDR-, SIEM- und SOAR-Tools, indem es Angriffsketten über mehrere Domänen hinweg sichtbar macht, anstatt jedes Ereignis isoliert zu alarmieren.

EDR (Endpoint Detection and Response) überwacht und reagiert auf Bedrohungen auf einzelnen Endpunktgeräten. XDR erweitert diesen Umfang: Es erfasst EDR-Telemetrie zusammen mit Daten aus Netzwerken, Cloud, Identität und E-Mail und korreliert dann alles in domänenübergreifende Vorfallansichten. Der praktische Unterschied besteht darin, dass EDR zeigt, was auf einem Rechner passiert ist; XDR zeigt, was der Angreifer in der gesamten Umgebung getan hat, bevor und nachdem er diesen Rechner kompromittiert hat.

Native XDR ist eine Einzelanbieter-Plattform, die die eigenen Sicherheitsprodukte des Anbieters integriert. CrowdStrike, Microsoft, SentinelOne und Palo Alto sind Beispiele. Open XDR erfasst Daten von jedem vorhandenen Sicherheitstool, unabhängig vom Anbieter, und setzt auf den aktuellen Stack auf, ohne dass ein Austausch erforderlich ist. Organisationen, die auf einen einzigen Anbieter konsolidieren, sollten natives XDR evaluieren; Organisationen mit heterogenen Tool-Stacks, die sie beibehalten möchten, sollten Open-XDR-Plattformen wie Stellar Cyber evaluieren.

Telemetrie-Erfassung: Die XDR-Plattform sammelt Daten von bereitgestellten Agenten (Endpunkt), Netzwerksensoren, Cloud-APIs, Identitätsanbietern und E-Mail-Sicherheitstools. Native XDR-Plattformen erfassen Daten aus ihrer eigenen Produktsuite; Open XDR-Plattformen erfassen Daten von jeder Quelle über vorgefertigte Konnektoren.
Normalisierung und Korrelation: Roh-Telemetrie wird in ein gemeinsames Datenschema normalisiert. Die Erkennungs-Engine der Plattform korreliert Ereignisse quellübergreifend und verknüpft beispielsweise eine verdächtige Anmeldung aus Identitätsprotokollen mit einer ungewöhnlichen Prozessausführung des Endpunkt-Agenten und einem Cloud-API-Aufruf der Workload-Schicht und zeigt diese als einen einzigen Vorfall an, anstatt als drei separate Alerts.
KI-unterstützte Erkennung: Maschinelle Lernmodelle, die auf Mustern gegnerischen Verhaltens trainiert sind (häufig auf MITRE ATT&CK abgebildet), erkennen Anomalien, die regelbasierte Systeme übersehen. Die meisten Plattformen enthalten inzwischen eine Form von KI-unterstützter Triage, wobei die Tiefe zwischen den Anbietern erheblich variiert.
Untersuchung und Reaktion: Analysten arbeiten von einer einheitlichen Vorfallansicht aus, die die gesamte Angriffskette über Domänen hinweg zeigt. Reaktionsaktionen können direkt von der Plattform aus ausgeführt werden. Einige Plattformen automatisieren Reaktionsschritte über integrierte SOAR-Funktionen.

Diese Forschung zitieren

Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.

Sena Sezer (2026) - "Top 11 XDR-Lösungen im Vergleich und Funktionen". Online veröffentlicht auf AIMultiple.com. Abgerufen am 15. Juni 2026, von: https://aimultiple.com/xdr-solutions [Online-Ressource]

Sezer, S. (2026, 15. Juni). Top 11 XDR-Lösungen im Vergleich und Funktionen. AIMultiple. https://aimultiple.com/xdr-solutions

@misc{sezer2026,
  author = {Sezer, Sena},
  title  = {{Top 11 XDR-Lösungen im Vergleich und Funktionen}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/xdr-solutions}},
  note   = {AIMultiple. Abgerufen am 15. Juni 2026}
}
Sena Sezer
Sena Sezer
Branchenanalyst
Sena ist Branchenanalystin bei AIMultiple. Sie hat ihren Bachelor-Abschluss an der Bogazici-Universität erworben.
Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.

0/450