Microsoft Defender XDR (Extended Detection and Response, dawniej Microsoft 365 Defender) to zunifikowana platforma bezpieczeństwa chroniąca firmę przed zaawansowanymi atakami na wszystkich czterech płaszczyznach: endpointy, tożsamości, pocztę e-mail z narzędziami współpracy oraz aplikacje chmurowe. Zamiast kilkunastu odseparowanych konsol Defender XDR łączy sygnały z każdego z tych obszarów w jeden spójny obraz ataku, automatycznie go przerywa i samoczynnie naprawia zainfekowane elementy — zanim zespół IT zdąży otworzyć zgłoszenie.
W skrócie
- Zunifikowana platforma XDR łącząca sygnały z endpointów, tożsamości, poczty (Exchange, Teams, SharePoint) i aplikacji chmurowych
- Automatyczne wykrywanie, przerywanie ataku (automatic attack disruption) i samonaprawa (self-healing) zasobów
- Jeden portal — jeden widok incydentów, jedno wspólne polowanie na zagrożenia (threat hunting)
- Wymaga licencji Microsoft 365 E5, Microsoft 365 E3 z dodatkiem EMS E5 lub osobnych licencji na poszczególne komponenty Defender
- W 2024 r. uznany za lidera w Forrester Wave™ XDR, a w 2025 r. za lidera w IDC MarketScape XDR
- Obejmuje również ochronę IoT/OT, zarządzanie podatnościami (Vulnerability Management) i integrację z Microsoft Security Copilot (AI)
Pełna definicja — czym jest XDR i dlaczego zastępuje osobne rozwiązania
XDR (Extended Detection and Response) to ewolucja systemów EDR (Endpoint Detection and Response). Klasyczny EDR monitoruje tylko endpointy — komputery, serwery, urządzenia mobilne. Tymczasem współczesny atak rzadko ogranicza się do jednego wektora. Typowy scenariusz ransomware w 2026 roku wygląda tak: przychodzi phishing na skrzynkę pracownika → pracownik klika link → atakujący kradnie token tożsamości z Entra ID → przechodzi z poczty na endpoint → z endpointa rozlewa się po całej domenie Active Directory → szyfruje pliki na serwerze plików i w SharePoint Online.
Każdy z tych etapów generuje alerty — ale w innym systemie. Defender for Office 365 widzi phishing. Defender for Identity widzi podejrzane ruchy lateralne w AD. Defender for Endpoint widzi proces szyfrowania. Bez XDR każdy z tych alertów ląduje w osobnej konsoli, a zespół SOC musi ręcznie sklejać je w całość. Microsoft Defender XDR robi to automatycznie: koreluje wszystkie sygnały w jeden incydent, pokazuje pełny łańcuch ataku (attack chain) i — co kluczowe — potrafi samoczynnie przerwać atak na dowolnym etapie, blokując skompromitowane konto w Entra ID, izolując endpoint i usuwając złośliwą wiadomość ze wszystkich skrzynek jednocześnie.
Cztery filary ochrony
| Komponent XDR | Co chroni | Przykładowe zagrożenie |
|---|---|---|
| Defender for Endpoint | Windows, macOS, Linux, Android, iOS, serwery | Ransomware, malware, exploit, podejrzany proces |
| Defender for Office 365 | Exchange Online, Teams, SharePoint, OneDrive | Phishing, BEC (business email compromise), złośliwe załączniki |
| Defender for Identity | On-prem Active Directory, Entra ID | Pass-the-hash, Golden Ticket, DCSync, podejrzane ruchy lateralne |
| Defender for Cloud Apps | SaaS (M365 + aplikacje firm trzecich), IaaS | Shadow IT, wyciek danych, podejrzane logowania z nietypowych lokalizacji |
Do tego dochodzą komponenty uzupełniające: Defender Vulnerability Management (ciągła inwentaryzacja podatności bez dodatkowego agenta), Defender for IoT (ochrona urządzeń przemysłowych i OT) oraz Microsoft Security Exposure Management (mapowanie powierzchni ataku i priorytetyzacja ryzyka).
Jak działa Microsoft Defender XDR w praktyce
Krok 1: Zbieranie sygnałów
Każdy z komponentów Defender nieprzerwanie zbiera surowe dane telemetryczne ze swojego obszaru. Defender for Endpoint monitoruje procesy, połączenia sieciowe, rejestr, zachowania użytkownika. Defender for Identity analizuje ruch Kerberos, NTLM i LDAP w Active Directory. Defender for Office 365 skanuje załączniki, linki i wzorce komunikacji. Wszystkie te dane trafiają do wspólnego jeziora danych w chmurze Microsoft.
Krok 2: Korelacja i priorytetyzacja
Silnik XDR na bieżąco analizuje napływające sygnały i łączy je w incydenty. Jeśli ten sam adres IP pojawił się w phishingu (Defender for Office 365), a 10 minut później to samo konto wykonało nietypowe zapytanie LDAP (Defender for Identity), a następnie na endpointcie uruchomił się podejrzany skrypt PowerShell (Defender for Endpoint) — XDR scala te trzy alerty w jeden priorytetowy incydent z pełną osią czasu.
Krok 3: Automatyczne działanie (automatic attack disruption)
Gdy XDR rozpozna wzorzec ataku (np. ransomware, BEC, atak na tożsamość), może zadziałać automatycznie — bez udziału człowieka. W przypadku ransomware automatycznie izoluje zainfekowany endpoint z sieci, blokuje konto użytkownika w Entra ID i usuwa złośliwą wiadomość źródłową ze wszystkich skrzynek. Dla zespołu SOC oznacza to skrócenie czasu reakcji z godzin do sekund.
Krok 4: Samonaprawa (self-healing)
Po zatrzymaniu aktywnego ataku XDR przywraca zasoby do bezpiecznego stanu: odtwarza usunięte pliki, przywraca ustawienia rejestru, resetuje hasła i sesje skompromitowanych kont. Zespół IT dostaje gotowy raport co się stało, co zostało naruszone i co naprawiono.
Krok 5: Threat hunting
Analitycy bezpieczeństwa mogą — przez portal Defender XDR lub przez Security Copilot (zapytania w języku naturalnym) — przeszukiwać 30 dni surowych danych telemetrycznych z endpointów, poczty i tożsamości za pomocą języka KQL (Kusto Query Language). Pozwala to na proaktywne szukanie śladów zagrożeń, które nie uruchomiły jeszcze żadnego alertu.
Microsoft Defender XDR a Microsoft Sentinel — czym się różnią
Często pojawiające się pytanie: czy Defender XDR zastępuje SIEM? Odpowiedź brzmi: nie, one się uzupełniają.
| Cecha | Defender XDR | Microsoft Sentinel |
|---|---|---|
| Kategoria | XDR | SIEM + SOAR |
| Źródła danych | Sygnały z ekosystemu Microsoft (endpointy, tożsamości, poczta, chmura) | Dowolne logi z całego ekosystemu IT (firewalle, routery, aplikacje własne, AWS, GCP) |
| Cel | Automatyczne wykrywanie, przerywanie i naprawa ataków w czasie rzeczywistym | Długoterminowa analiza, zgodność (compliance), korelacja z dowolnymi źródłami |
| Czas przechowywania | 30 dni danych telemetrycznych | Do 2 lat (zależnie od planu) |
| Automatyzacja | Wbudowana, natywna | Playbooki oparte na Azure Logic Apps |
| Dla kogo | Każda firma korzystająca z Microsoft 365 | Organizacje z dedykowanym SOC i wymogami compliance |
W idealnym scenariuszu firma używa Defender XDR do codziennej ochrony i automatycznej reakcji, a Sentinel do długoterminowego przechowywania logów, raportowania zgodności i zaawansowanych scenariuszy SOAR.
Wymagania licencyjne — czego potrzebuje firma
Microsoft Defender XDR nie jest osobnym produktem do kupienia w tradycyjnym sensie. To zunifikowane doświadczenie (portal, korelacja, automatyczne działanie), które aktywuje się, gdy organizacja posiada odpowiednie licencje na komponenty składowe. Najprostsze ścieżki:
| Ścieżka | Co obejmuje | Szacunkowy koszt (za użytkownika/miesiąc) |
|---|---|---|
| Microsoft 365 E5 | Pełny Defender XDR + pełny pakiet bezpieczeństwa M365 | ~57 USD |
| Microsoft 365 E3 + EMS E5 add-on | Defender XDR + zaawansowane zarządzanie tożsamością | ~36 USD + ~15 USD |
| Licencje standalone | Defender for Endpoint P2 + Defender for Office 365 P2 + Defender for Identity + Defender for Cloud Apps | Suma poszczególnych SKU |
Firmy z sektora MŚP, które nie potrzebują pełnego pakietu E5, mogą zacząć od Microsoft 365 Business Premium (~22 USD/użytkownika/miesiąc), który zawiera Defender for Business (uproszczony wariant Defender for Endpoint), Defender for Office 365 Plan 1 i podstawową ochronę tożsamości.
Dla kogo Microsoft Defender XDR ma sens
- Firmy z min. 50 użytkownikami Microsoft 365, które chcą zastąpić zbieraninę narzędzi bezpieczeństwa jednym spójnym ekosystemem
- Organizacje bez własnego SOC 24/7 — automatyzacja XDR (automatic disruption + self-healing) pełni funkcję wirtualnego analityka na nocnej zmianie
- Firmy przechodzące na hybrydę (on-prem AD + Entra ID) — Defender for Identity widzi oba światy jednocześnie
- Branże regulowane (finanse, medycyna, przemysł) — XDR + Sentinel razem zapewniają pełną ścieżkę audytu i zgodność z ISO 27001, NIS2, DORA
Porównanie z alternatywami
| Rozwiązanie | Typ | Siła | Słabość |
|---|---|---|---|
| Microsoft Defender XDR | XDR natywny dla M365 | Najgłębsza integracja z ekosystemem Microsoft; automatyczne przerywanie ataku | Słabsza ochrona systemów spoza ekosystemu Microsoft |
| CrowdStrike Falcon | XDR/EDR wieloplatformowy | Bardzo silny na endpointach (Windows/Linux/macOS); niezależny od dostawcy | Brak natywnej integracji z Exchange Online/SharePoint — potrzebny dodatkowy moduł |
| SentinelOne Singularity XDR | XDR wieloplatformowy | AI-based, szybki, dobry na Linux i kontenery | Mniej rozwinięta ochrona tożsamości i poczty |
| Palo Alto Cortex XDR | XDR sieciocentryczny | Świetna analiza ruchu sieciowego, integracja z firewallami PA | Wymaga firewalli Palo Alto dla pełni możliwości |
Microsoft Defender XDR jest bezkonkurencyjny dla organizacji, które już są w ekosystemie Microsoft 365 — integracja i automatyzacja, które dostaje się „z pudełka”, u konkurencji wymagają ręcznego spinania wielu produktów.
Częste pytania
Czy Defender XDR zastępuje antywirusa na komputerach firmowych?
Tak. Microsoft Defender for Endpoint (Plan 1 i 2) zawiera pełną ochronę antywirusową nowej generacji (NGAV) — wykorzystuje uczenie maszynowe, analizę behawioralną i chmurową bazę sygnatur Microsoft Intelligence Security Graph. Defender XDR nie wymaga instalowania żadnego dodatkowego antywirusa; sam pełni tę funkcję na Windows, macOS i Linux. Co ważne, wbudowany Windows Defender, z którego firmy często rezygnują na rzecz zewnętrznych rozwiązań, po podłączeniu do konsoli XDR zyskuje funkcje EDR (zaawansowane śledztwo, threat hunting, automatyczną reakcję), których samodzielny darmowy antywirus nie oferuje.
Czy Defender XDR chroni serwery Windows Server i Linux?
Tak. Defender for Endpoint wspiera Windows Server 2016, 2019, 2022 i 2025 oraz najpopularniejsze dystrybucje Linux (RHEL, Ubuntu, Debian, SLES, Oracle Linux). Serwery są objęte tymi samymi zasadami ochrony co stacje robocze — z tą różnicą, że licencjonowanie serwerów odbywa się osobno (Microsoft Defender for Servers Plan 1/2 w ramach Azure lub jako licencja standalone). W firmie z 10 serwerami i 100 użytkownikami oznacza to: 100 licencji użytkowników w M365 E5 + 10 osobnych licencji na serwery.
Czy mogę używać Defender XDR, jeśli część pracowników pracuje na macOS lub Linux?
Tak. Defender for Endpoint ma agentów na macOS (wsparcie dla Apple Silicon i Intel) oraz Linux (DEB i RPM). Funkcjonalność jest zbliżona, choć nie identyczna — macOS i Linux mają nieco mniej czujników (np. analiza rejestru dotyczy tylko Windows). Pełna korelacja XDR działa jednak niezależnie od systemu operacyjnego — incydent wykryty na MacBooku zostanie skorelowany z alertem z poczty i tożsamości dokładnie tak samo jak na Windows.
Jaka jest różnica między Microsoft Defender XDR a Microsoft 365 Defender?
Nazwa. Microsoft 365 Defender został przemianowany na Microsoft Defender XDR w 2023 roku, aby oddać fakt, że platforma chroni nie tylko Microsoft 365, ale całe środowisko IT — endpointy, serwery, tożsamości hybrydowe, aplikacje SaaS i urządzenia IoT. Funkcjonalnie to ten sam produkt, a portal dostępny jest pod adresem security.microsoft.com.
Czy mała firma na 15 osób potrzebuje pełnego Defender XDR?
Nie musi wdrażać pełnego XDR od razu. Microsoft 365 Business Premium (~22 USD/os./miesiąc) zawiera uproszczony wariant — Defender for Business (ochrona endpointów) oraz Defender for Office 365 Plan 1 (ochrona poczty). To wystarczający poziom ochrony dla większości małych firm. Pełny Defender XDR (E5) staje się opłacalny przy około 50+ użytkownikach, gdy koszt incydentu bezpieczeństwa przewyższa różnicę w cenie subskrypcji.
Czy Defender XDR wykryje atak, jeśli używam Google Workspace zamiast Microsoft 365?
Częściowo. Defender for Endpoint chroni endpointy niezależnie od używanego pakietu biurowego, a Defender for Identity monitoruje Active Directory on-premises. Nie uzyskasz jednak ochrony poczty i aplikacji chmurowych (Defender for Office 365 i Defender for Cloud Apps są ściśle związane z Microsoft 365). Jeśli firma używa Google Workspace + Windows, XDR nadal zapewni ochronę endpointów i tożsamości, ale nie zobaczy pełnego łańcucha ataku przez e-mail.
Czy potrzebuję osobnego zespołu SOC, żeby używać Defender XDR?
Nie. Jedną z głównych zalet Defender XDR jest to, że automatyzuje dużą część pracy analityka. Funkcja automatic attack disruption samodzielnie przerywa ataki ransomware, BEC i ataki na tożsamość bez udziału człowieka. Dla mniejszych firm dostępna jest też usługa Defender Experts for XDR — zespół analityków Microsoft, który w trybie 24/7 monitoruje incydenty w twojej organizacji i eskalizuje tylko te wymagające decyzji biznesowej. To model „SOC as a service” bez konieczności budowania własnego zespołu.
Ochrona firmowych danych przed zaawansowanymi atakami nie musi oznaczać samodzielnego składania i integrowania kilkunastu narzędzi. Microsoft Defender XDR dostarcza zunifikowaną ochronę w modelu subskrypcyjnym — od endpointu, przez tożsamość, aż po aplikacje chmurowe. Jeśli Twoja firma planuje wdrożenie lub audyt bezpieczeństwa w ekosystemie Microsoft, sprawdź dostępne licencje Microsoft 365 w KluczeSoft — oferujemy legalne, w pełni aktywowalne klucze do wersji Business i Enterprise, które po podpięciu do organizacji odblokowują pełnię możliwości Defender XDR.