Nogle gange kan forskellige værktøjer have overlappende funktioner/egenskaber, hvilket kan være forvirrende for beslutningstagere. I dette korte blogindlæg forsøger jeg at belyse forskellene mellem et SIEM-værktøj (Security Information and Event Management) og et EDR-værktøj (Endpoint Detection and Response).

Nogle gange har forskellige cybersikkerhedsværktøjer overlappende funktioner og egenskaber, hvilket forvirrer beslutningstagere. I dette korte blogindlæg belyser vi forskellene mellem et SIEM-værktøj (Security Information and Event Management) og et EDR-værktøj (Endpoint Detection and Response).

Hvad er en EDR-løsning?

Traditionelt tilbyder grundlæggende cybersikkerhedssoftware beskyttelse gennem signaturbaserede værktøjer eller et SIEM-værktøj. Et EDR-værktøj (Endpoint Detection and Response) er et supplement til SIEM og bruges til at udvide identifikations- og reaktionskapaciteten.

Et ‘slutpunkt’ er enhver enhed, der fysisk er et slutpunkt på et netværk. Det kan være lokale eller eksterne enheder. Eftersom de giver adgang til en organisations aktiver eller applikationer, er slutpunktssikkerhed vigtig.

Et EDR-værktøj afgør især, om malware er blevet installeret på en slutpunktsenhed og finder måder at reagere på denne type trussel på. Når EDR-løsningerne er installeret, bruger de agenter, der er installeret på et slutpunkt, til at indsamle data fra mange forskellige typer datakilder direkte på slutpunktet og lagrer dem i en central database.

Disse data kommer typisk fra følgende kilder:

  • ARP
  • DNS
  • Sockets
  • Registreringsdatabaser
  • Hukommelsesdump
  • Systemkald
  • IP adresser
  • Hardwaretyper

Når en EDR-løsning finder et hackingforsøg eller en ondsindet infiltration, vil den straks komme med en liste over anbefalede svar.

 

A typical threat hunting process

Alle EDR’er indeholder dashboards eller rapporter, og der udføres en dataanalyse. EDR-løsninger understøtter i øjeblikket Windows OS og begynder at understøtte andre platforme som Linux, Unix, iOS eller Android.


Hvad er en SIEM-løsning?

En SIEM-løsning (security information and event management solution) er et centralt risikostyringsværktøj til trusselsidentifikation, -undersøgelse og -reaktion.

En SIEM bruges til at tilvejebringe en enkelt central placering til lagring og analyse af data, der kommer fra mange forskellige logkilder – og er ikke begrænset til slutpunktsystemer. På denne måde giver SIEM mulighed for at forbinde tidligere opdelte informationssiloer for at indsamle data og analysere data i realtid, registrere brud på datasikkerheden, lagre data og rapportere – hvilket giver letforståelig, produktagnostisk indsigt, der baner vejen for passende handlinger og reaktioner.

Efterhånden som alle institutioner har gennemført deres digitaliseringsrejse, er data nu centrale for alle forretningsmodeller. Data og evnen til at visualisere dem er i sig selv værdifulde. Denne værdi stiger drastisk, når den sættes i kontekst. Når disse data beriges med oplysninger om brugere, aktiver, trusler og sårbarheder, bliver de handlingsrettede, og den SIEM-løsning, der understøtter dette, øger ROI./p>

Med SIEM er det muligt at forstå mange forskellige use-cases og oprette forbindelse til mange typer systemer, der tilgår forskellige logkilder, såsom firewalls, servere, IPS, proxyer osv. En SIEM-løsning understøtter en lang række forskellige platforme og kan derfor bruges til avanceret korrelation, logstyring og undersøgelser.

Derudover er der med LogPoint SIEM ingen grænse for de forskellige use-cases.LogPoint er i stand til at håndtere forskellige områder som f.eks. IT-drift, IT-sikkerhed, Compliance og Business Analytics.

solving security management challenges

LogPoint SIEM gør meget mere end traditionel SIEM-software.

Vores SIEM-løsning indsamler, undersøger og registrerer effektivt hændelsesdata fra enhver enhed eller applikation i din infrastruktur, så du får den indsigt, der er nødvendig for at definere truslens omfang og træffe kritiske beslutninger.

Hvad er forskellen mellem SIEM og EDR?

En SIEM-løsning kan bruges til at indsamle data fra mange forskellige typer datakilder og udføre avanceret korrelation, logstyring eller undersøgelser. Disse data kan genereres af applikationer, databaser, infrastruktur, følsomme aktiver, produktionssystemer eller sikkerhedssystemer. Der er ingen begrænsning i forhold til understøttede platforme eller typen af use-case.

En EDR-løsning hjælper med at undersøge, afdække, prioritere og afhjælpe komplekse angreb, specifikt og kun ved hjælp af slutpunktsdata.

Anbefalinger

For at opnå et mere effektivt forsvarssystem i flere lag er det en fordel at kombinere disse to værktøjer: Udnytte styrken ved LogPoints SIEM til at indsamle data fra mange forskellige typer logkilder og tilføje en EDR-løsning for at kunne fokusere på det enkelte netværk.

Eftersom en EDR kun fungerer med slutpunktsdata, er det vigtigt at betragte SIEM som grundlæggende og en EDR-løsning som et supplement. Strukturelt anvender en SIEM-løsning en EDR-løsning som en anden logkilde, der giver værdifulde oplysninger.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint