作者：来自 Elastic Mia LaVada

我们正在结束按端点计费。AI 驱动的攻击者在几分钟内发动攻击，而根据价格清单选择保护哪些资产是一种风险。多年来，行业迫使安全负责人自我博弈：你只能保护买得起的笔记本和服务器，其余设备为了控制预算而暴露风险。

这种妥协已无法持续。在 Elastic，我们认为你应该根据风险而不是许可证数量来构建安全策略。通过消除 “端点税”，我们的 agentic 安全运营平台使组织能够在整个环境中实现全面可见性和世界级防护。

防护比以往任何时候都重要

单靠检测已不够。如果你不能在边缘阻止威胁，就只能在损害发生后去追赶它们。AI 压缩了攻击生命周期，使攻击者能在几分钟内横向移动。由于这些高级攻击者在用户模式工具无法触及的“底层”操作，你需要在他们操作的同一级别上实现可见性和防护。

要阻止他们，你必须在他们所在的位置迎击：内核。Elastic Defend，Elastic 的原生端点防护，提供必要的内核级可见性。通过在操作系统根部工作，我们可以在恶意代码执行之前检测并阻止 rootkits、直接内核操作和高级持久化技术等威胁。

这不是为了收集更多数据，而是为了从正确的视角在源头防止攻击。

上下文才是发现真实攻击的关键

仅在边缘阻止攻击只是部分解决方案。要真正捕获高级威胁，你需要上下文。但上下文需要规模，而大多数端点产品在现代 XDR 所需的数据量下已经吃力。它们将遥测锁在独立系统中，迫使分析师在控制台之间“旋转椅式”手动拼接完整故事。

Elastic 是一家具有深厚安全 DNA 的数据公司，由 AI 驱动。我们不仅能处理规模问题，而且为此而生。我们自动将端点行为与身份变化、网络流量和 cloud logs 相关联。当 alert 触发时，完整的故事已经存在。你得到的是答案，而不仅仅是更多需要筛选的日志。

我们取消了按端点计费

大多数 EDR 供应商仍然迫使在覆盖范围和成本之间做出权衡。你只能保护买得起的服务器，其余设备则毫无防护。这不是安全策略，而是一种风险。

Elastic Security XDR 没有按端点收费。你可以保护所有需要保护的设备。安全决策基于风险，而不是许可证预算剩余情况。

将我们的 EDR 迁移到 Elastic Defend 是一次“一键”体验。由于我们已经部署了 Elastic Agent，我们通过 Fleet policy 即刻激活了新的安全功能。无痛，无复杂部署 — 立即获得保护。

- Ben Collier，安全工程主管，THG Ingenuity

覆盖与你实际构建方式匹配

无论你需要企业范围内的完整端点覆盖、支持多种端点 agents，还是扩展现有供应商的分层方法，Elastic Security XDR 都可作为统一层运行。所有操作均在单一控制台进行 — 无需在平台间切换或手动拼接工具上下文。而且，由于端点遥测直接流入你的 SIEM，你还可以降低当前为现有端点供应商支付的存储成本。

对于未受保护的资产，你可以部署 Elastic Defend，即刻通过内核级防护填补覆盖空白。但我们也认识到，许多企业运行多种工具。我们不仅收集 CrowdStrike、SentinelOne 或 Microsoft Defender的 alerts，还提取其原始遥测数据，以提供端点孤岛遗漏的关键上下文。这使你能够直接在 Elastic 内操作所有第三方数据。无论是运行高级分析，还是触发远程响应（如隔离 hosts 或终止进程），都可以在 Elastic 控制台内完成。

关键是，这种保护不受基础设施限制。Elastic 可部署在 cloud、混合和本地环境（包括完全隔离的环境）中。我们为你最敏感的资产提供同样的世界级防护，而无需强制使用 cloud-native 架构。

经过行业验证的端点有效性

我们的预防优先方法不仅是口号；它经过独立验证。2025 年，Elastic 是唯一在 AV-Comparatives 的 Real-World 和 Malware 测试中全年保持 100% 持续保护率的供应商。

随后，我们在 2025 年 AV-Comparatives EPR 测试中表现出色，在 50 个高级攻击场景中全部阻止，无任何工作流延迟。这一表现，加上我们的统一许可，是 IDC 将 Elastic 评为 IDC MarketScape：2025 年全球扩展检测与响应软件供应商评估领导者的原因。

原生、agentic 自动化

我们已将 agentic AI 和 Elastic Workflows 直接集成到平台中，实现从 alert 到操作仅需几秒。这不是独立的 SOAR 工具；它是原生自动化，可直接访问端点遥测和响应操作。AI agents 可以自主推理调查，并执行操作，如查询 reputation services、隔离 hosts 或直接在端点上终止进程。通过将 AI 保持在数据所在位置，你消除了第三方工具带来的延迟和凭证开销。

底线

使用 Elastic，你可以看到一切、快速阻止威胁，并自信地调查事件，而无需按端点付费。

我们的 agentic 安全运营平台为你提供内核级防护、完整端点可见性以及跨环境的上下文。alerts 实时关联，使分析师花更少时间在工具间切换，更多时间阻止攻击。使用 Elastic，你的安全策略由风险驱动，而非许可证限制，让你在不妥协的情况下保护整个环境。

费用

最快的入门方式是使用 Elastic Cloud Serverless，这是全托管部署，根据你摄取的数据量和保留周期定价。你可以使用我们的定价计算器估算费用。

如果需要更多控制，你可以部署在 Elastic Cloud Hosted（基于资源定价）或自管理基础设施（基于节点定价）。

开始使用

要开始使用，请注册 Elastic Security 免费试用，通过我们的入门视频了解如何使用 Elastic Defend，或访问 Oh My Malware 亲手操作真实恶意软件样本。

本文中提到的任何功能或特性发布及时间安排均由 Elastic 全权决定。当前不可用的任何功能或特性可能无法按时或根本不提供。

在本文中，我们可能使用或提及了第三方生成式 AI 工具，这些工具由各自所有者拥有和运营。Elastic 对第三方工具不具任何控制权，也不对其内容、操作或使用承担责任或义务，也不对因使用此类工具可能产生的任何损失或损害负责。使用 AI 工具处理个人、敏感或机密信息时，请谨慎。你提交的任何数据可能被用于 AI 训练或其他用途。不能保证你提供的信息会被安全或保密保存。在使用任何生成式 AI 工具前，你应熟悉其隐私实践和使用条款。

Elastic、Elasticsearch 及相关标识是 Elasticsearch B.V. 在美国及其他国家的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。

原文：https://www.elastic.co/blog/xdr