SYSTEM ONLINE · build / v1.0 · region / RU · CIS · last index sync / 04.06.2026 / 13:08 UTC
· войти →
cyber-index.ru
исследование 3 июня 2026

Что такое ITDR и чем он отличается от EDR/XDR

ITDR (Identity Threat Detection and Response) — это класс решений для обнаружения и реагирования на атаки, нацеленные на идентичности: учётные записи, привилегии, службы каталогов (прежде всего Active Directory и облачные провайдеры идентичности). ITDR следит не за файлами на хосте и не за сетевым периметром, а за тем, как используются учётные данные: компрометация паролей, эскалация привилегий, аномальные входы, атаки на Kerberos и LDAP, изменения в каталоге. **Если коротко:** EDR закрывает конечные точки, XDR агрегирует телеметрию из нескольких доменов, IAM/PAM управляют доступом и выдают права — а ITDR обнаруживает злоупотребление этим доступом и атаки на сам слой идентичности. Это отдельный контур: классический EDR не видит, что скомпрометированная, но «легитимная» учётка тихо собирает права в домене. Ниже — чем ITDR отличается от EDR/XDR и IAM, как он защищает каталоги и как оценить зрелость защиты идентичностей у себя. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге ITDR-решений](/rating/itdr-identity-threat-detection-response).

9 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Ирина Карпова
security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Что такое ITDR и чем он отличается от EDR/XDR
Тематическая иллюстрация к исследованию: Что такое ITDR и чем он отличается от EDR/XDR. Miguel Á. Padriñán / Pexels
shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.
methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

Ирина Карпова author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

  • 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
  • Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему идентичность стала отдельным контуром защиты

Периметр размылся: сотрудники работают удалённо, инфраструктура частично в облаке, сервисы общаются между собой по токенам и сервисным учёткам. В этой модели главный объект атаки — не сервер и не сеть, а идентичность. По наблюдениям индустрии всё больше взломов начинается не с эксплойта, а с действующих учётных данных: фишинг, подбор, утёкшие пароли, перехваченные токены. Дальше атакующий уже «внутри» и выглядит как легитимный пользователь.

Active Directory при этом остаётся центральной мишенью: он управляет аутентификацией и авторизацией в большинстве корпоративных сетей, накапливает теневые права, устаревшие учётки и небезопасные настройки. Атаки вроде Kerberoasting, DCSync, Pass-the-Hash и Golden Ticket нацелены именно на каталог. Классические средства — антивирус, EDR, межсетевой экран — этот слой видят плохо: для них действия скомпрометированной учётки часто неотличимы от нормальной работы. Отсюда и появился отдельный класс ITDR.

Что такое ITDR и из чего он состоит

ITDR — это связка постоянного мониторинга слоя идентичности, обнаружения угроз и автоматизированного реагирования. Условно решение закрывает три задачи:

- **Видимость и гигиена.** Инвентаризация учёток, привилегий, доверительных отношений, выявление слабых мест в конфигурации каталога (ITDR-аспект «снижения поверхности атаки на идентичности»). - **Обнаружение атак в реальном времени.** Детектирование характерных техник — Kerberoasting, DCSync, Pass-the-Hash/Ticket, перебор, аномальные входы и эскалация привилегий, подозрительные изменения в AD/каталоге. - **Реагирование.** Блокировка или изоляция учётки, форсированный сброс пароля, отзыв сессий и токенов, сигнал в SIEM/SOC и сценарии в SOAR.

ITDR опирается на данные служб каталогов (Active Directory, LDAP, облачные IdP), телеметрию аутентификации и поведенческую аналитику. Важно: ITDR не заменяет IAM и не выдаёт права — он наблюдает за тем, как уже выданные права используются, и ловит злоупотребление.

ITDR vs EDR vs IAM: чем отличаются

Параметр ITDR EDR / XDR IAM / PAM
Главный объект Идентичности, учётки, каталоги (AD, IdP) Конечные точки (EDR) и кросс-доменная телеметрия (XDR) Управление доступом и привилегиями
Основной вопрос Кто и как злоупотребляет доступом? Что происходит на хосте/в средах? Кто и какой доступ должен иметь?
Типовые угрозы Kerberoasting, DCSync, Pass-the-Hash, эскалация привилегий, аномальные входы Вредонос, эксплойты, подозрительные процессы, бесфайловые атаки Избыточные права, отсутствие MFA, неуправляемые привилегии
Где работает Контроллеры домена, каталоги, поток аутентификации Хосты, серверы, частично облако и сеть Директории, порталы доступа, хранилища секретов
Режим Обнаружение и реагирование Обнаружение и реагирование Превентивный контроль (выдача/отзыв прав)
Видит ли атаку на AD Да, это профильная задача Частично, не как основной фокус Нет, это не функция обнаружения

Чем ITDR отличается от EDR и XDR на практике

EDR (Endpoint Detection and Response) сфокусирован на конечной точке: процессы, файлы, поведение на хосте. XDR расширяет картину, собирая телеметрию из нескольких доменов (хосты, почта, сеть, облако) и коррелируя её. Оба класса сильны там, где есть «материальный след» атаки — вредоносный процесс, подозрительная команда, аномалия на устройстве.

ITDR закрывает слепую зону: ситуации, где атакующий не запускает вредонос, а действует действующими учётными данными и легитимными протоколами. Запрос билета Kerberos, репликация каталога, чтение хэшей, добавление учётки в привилегированную группу — для хоста это штатные операции, а для слоя идентичности это сигнал атаки. ITDR понимает контекст каталога и поведения учёток, поэтому видит то, что EDR/XDR пропускают. На практике ITDR часто работает как источник сигналов для XDR/SOC: события об атаках на идентичности обогащают общую корреляцию.

Покрытие угроз по классам решений

Редакционная оценка профильного покрытия классом решений (0–100) по открытым данным. Это не вендорский бенчмарк и не заменяет пилот в вашей среде.

Атаки на Active Directory (Kerberoasting, DCSync) 90 /100
90 /100
Компрометация учётных данных и аномальные входы 85 /100
85 /100
Эскалация привилегий через каталог 85 /100
85 /100
Вредоносное ПО и эксплойты на хосте 25 /100
25 /100
Превентивное управление правами доступа 20 /100
20 /100

Как ITDR защищает Active Directory и каталоги

Active Directory — приоритетная зона ITDR, потому что компрометация домена обычно означает компрометацию всей сети. ITDR работает по AD в нескольких плоскостях:

- **Снижение поверхности атаки.** Постоянный аудит конфигурации: опасные делегирования, устаревшие и неиспользуемые учётки, избыточные привилегии, слабые настройки Kerberos, небезопасные доверительные отношения. - **Обнаружение техник атаки.** Распознавание Kerberoasting, AS-REP Roasting, DCSync, Pass-the-Hash и Pass-the-Ticket, Golden/Silver Ticket, подозрительной репликации и массового перечисления объектов. - **Контроль изменений в каталоге.** Отслеживание правок в привилегированных группах, GPO, ACL и схеме — именно через них атакующий закрепляется и эскалирует права. - **Реагирование.** Изоляция учётки, сброс пароля, отзыв сессий, оповещение SOC и передача контекста в SIEM/SOAR для расследования.

То же относится к облачным провайдерам идентичности и гибридным сценариям: синхронизация on-prem AD с облаком создаёт новые пути атаки, и ITDR контролирует их по обе стороны.

Чек-лист зрелости защиты идентичностей

Инвентаризация идентичностей есть полный учёт учёток, сервисных аккаунтов и привилегий, включая теневые и устаревшие.
Гигиена Active Directory регулярный аудит конфигурации каталога, делегирований, GPO и доверительных отношений.
MFA на критичных доступах многофакторная аутентификация для администраторов, VPN и удалённого доступа.
Обнаружение атак на AD детектируются Kerberoasting, DCSync, Pass-the-Hash и аномальная репликация.
Мониторинг привилегированных групп изменения в админских группах, ACL и схеме отслеживаются и алертятся.
Поведенческая аналитика входов аномальные входы по времени, географии и устройству выявляются автоматически.
Сценарии реагирования есть автоматизированные действия: блокировка учётки, сброс пароля, отзыв сессий.
Интеграция с SIEM/SOC сигналы ITDR попадают в общую корреляцию и расследование инцидентов.
Покрытие гибрида и облака контролируются и on-prem каталог, и облачные провайдеры идентичности.
Проверка по реестрам статус решения сверен в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и [реестре ФСТЭК](https://reestr.fstec.ru/).

Как внедрить ITDR: 5 шагов

  1. 01 Аудит слоя идентичности

    Инвентаризация учёток, привилегий и каталогов; оценка текущей поверхности атаки на AD и IdP.

  2. 02 Подключение источников

    Интеграция с контроллерами домена, потоком аутентификации и облачными провайдерами идентичности.

  3. 03 Базовая линия поведения

    Накопление профиля нормальной активности учёток, чтобы аномалии не тонули в ложных срабатываниях.

  4. 04 Включение детектов и реагирования

    Активация правил по техникам атак на каталог и сценариев ответа (изоляция, сброс, отзыв сессий).

  5. 05 Интеграция в SOC

    Передача сигналов в SIEM/SOAR, отработка плейбуков, регулярный пересмотр гигиены идентичностей.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики ITDR сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация по защите идентичностей, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом ITDR-решений](/rating/itdr-identity-threat-detection-response): здесь — суть класса и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с тем, что такое ITDR и зачем он нужен — переходите к сравнению поставщиков: **[рейтинг ITDR-решений →](/rating/itdr-identity-threat-detection-response)**. Полезно прочитать рядом: [атаки на Active Directory и как их обнаруживать](/research/ataki-na-active-directory) и [рейтинг ITDR-решений 2026: защита идентичностей](/research/rejting-itdr-reshenij-2026).

Частые вопросы

Чем ITDR отличается от EDR?

EDR следит за конечными точками: процессами, файлами и поведением на хосте. ITDR следит за слоем идентичности: учётками, привилегиями и каталогами (Active Directory, облачные IdP). EDR ловит вредонос на устройстве, а ITDR — злоупотребление действующими учётными данными и атаки на сам каталог, которые для хоста выглядят легитимно.

ITDR заменяет XDR или дополняет его?

Дополняет. XDR агрегирует и коррелирует телеметрию из нескольких доменов, а ITDR даёт ему профильный сигнал об атаках на идентичности. На практике ITDR часто становится источником событий для XDR/SOC, усиливая общую корреляцию, а не подменяя её.

ITDR — это то же самое, что IAM или PAM?

Нет. IAM и PAM — превентивный контроль: они управляют тем, кто и какой доступ должен иметь, выдают и отзывают права, хранят секреты. ITDR — это обнаружение и реагирование: он наблюдает, как уже выданные права используются, и ловит компрометацию и злоупотребление.

Зачем ITDR, если уже есть EDR и SIEM?

EDR не видит атаки, идущие через легитимные учётные данные и протоколы каталога, а SIEM без специализированной аналитики идентичностей часто не отличает атаку от нормальной работы. ITDR закрывает эту слепую зону и поставляет готовый контекст по AD и учёткам в SIEM/SOC.

Какие атаки на Active Directory обнаруживает ITDR?

Характерные техники против каталога: Kerberoasting и AS-REP Roasting, DCSync, Pass-the-Hash и Pass-the-Ticket, Golden/Silver Ticket, подозрительную репликацию, массовое перечисление объектов и изменения в привилегированных группах и ACL.

Где сравнить конкретных поставщиков ITDR?

В рейтинге ITDR-решений — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

ITDR (Identity Threat Detection and Response) — это класс решений для обнаружения и реагирования на атаки, нацеленные на идентичности: учётные записи, привилегии, службы каталогов (прежде всего Active Directory и облачные провайдеры идентичности). ITDR следит не за файлами на хосте и не за сетевым периметром, а за тем, как используются учётные данные: компрометация паролей, эскалация привилегий, аномальные входы, атаки на Kerberos и LDAP, изменения в каталоге. **Если коротко:** EDR закрывает конечные точки, XDR агрегирует телеметрию из нескольких доменов, IAM/PAM управляют доступом и выдают права — а ITDR обнаруживает злоупотребление этим доступом и атаки на сам слой идентичности. Это отдельный контур: классический EDR не видит, что скомпрометированная, но «легитимная» учётка тихо собирает права в домене. Ниже — чем ITDR отличается от EDR/XDR и IAM, как он защищает каталоги и как оценить зрелость защиты идентичностей у себя. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге ITDR-решений](/rating/itdr-identity-threat-detection-response).

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России
Рейтинг ITDR-решений Сравнить поставщиков по подтверждённым сигналам Атаки на Active Directory и как их обнаруживать Рейтинг ITDR-решений 2026: защита идентичностей
next step

Сравнить подрядчиков по рейтингу

Исследование помогает сформулировать критерии. Для короткого списка используйте категории рейтинга и карточки компаний.

Рейтинг ITDR-решений
NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.