XDR-tilbud bliver mere og mere populære med eksponentiel hastighed. Mange cybersikkerhedsleverandører har tilpasset betydningen af XDR på en måde, der er afstemt med deres egne synspunkter og vilkår. Denne holdning bidrager til forvirringen omkring definitionen og formålet med XDR, hvilket gør det svært at vurdere, om dette tilbud kan erstatte behovet for SIEM- og SOAR-værktøjer eller ej. Dette blogindlæg besvarer alle spørgsmål om SIEM, SOAR og XDR for at hjælpe sikkerhedseksperter med at navigere i et komplekst og overfyldt løsningslandskab.

Hvad er en XDR?

XDR (udvidet identifikation og reaktion) er en samlet platform til at identificere og reagere på sikkerhedshændelser. Som en naturlig videreudvikling af EDR-værktøjer (slutpunktsidentifikation og -reaktion) kan nogle XDR’er automatisk indsamle og korrelere data fra flere proprietære sikkerhedskomponenter, hvilket gør dem sammenlignelige med SIEM- og SOAR-produkter. Alligevel differentierer XDR’er sig ved graden af integration ved implementeringen og det skarpe fokus på trusselsidentifikation og hændelsesrespons.

XDR henvender sig typisk til sikkerhedsteams, der har svært ved at administrere de bedste løsninger i sin klasse og siloopdelte løsninger som f.eks. teams med separate, selvstændige SIEM-, SOAR-, UEBA-og EDR-værktøjer. Der er to primære typer XDR:

  • Oprindelig XDR er nøje afstemt med andre sikkerhedsværktøjer i leverandørernes portefølje.
  • Hybrid XDR er normalt afhængig af yderligere sikkerhedsværktøjer fra andre leverandører.

Uanset typen er der tre fælles elementer:

  1. Centralisering af normaliserede data (typisk i en datasø)
  2. Korrelering mellem sikkerhedsdata og alarmer i hændelser
  3. Centraliseret hændelsesrespons, der kan ændre de enkelte sikkerhedsprodukters tilstand som en del af hændelsesresponsen

Hvad er SIEM og SOAR?

En SIEM-løsning indsamler, gemmer og analyserer logdata fra hele IT-infrastrukturen, hovedsageligt for at registrere mistænkelig aktivitet og reagere på trusler. Et SIEM identificerer og sender automatisk alarmer om kritiske hændelser eller uregelmæssigheder. Selvom SIEM-værktøjer primært anvendes til sikkerhedsformål, er der flere andre use cases, som alle organisationer bør være opmærksomme på, såsom automatiseret compliance-styring, overvågning af driften eller logstyring. Et SIEM kan indsamle data fra et hvilket som helst system, herunder firewalls, e-mailkonti, filservere og andre dataindsamlingsenheder som f.eks. printere eller dørsystemer med adgangskort.

På samme måde som et SIEM-sysem er SOAR (sikkerhedsorkestrering, automatisering og reaktion) designet til at forbedre en organisations sikkerhedsgrad ved at sætte fart i funktioner til hændelsesrespons. Det hjælper sikkerhedsteams med at reagere mere effektivt på det stigende antal sikkerhedsalarmer ved at indsamle sikkerhedstrusler, data og alarmer fra flere kilder. En SOAR-løsning kan automatisk prioritere og reagere på sikkerhedstrusler og -hændelser, hvilket reducerer sikkerhedsteamets manuelle handlinger.

 SOAR’s maskinhus

  • Indsaml data og advarsler om sikkerhedstrusler fra forskellige kilder
  • Aktivér hændelsesanalyser og prioritering, både automatisk og manuelt
  • Automatiser hændelsesresponshandlinger via playbooks
  • Organiser og administrer forskellige teknologier via connectors for at muliggøre udførelsen af playbooks
  • Anvend maskinbaseret hjælp til sikkerhedsanalytikere

XDR og SIEM+SOAR – Hvad er forskellen?

Der er mange tilgange til XDR, men ligheden er, at XDR kombinerer data fra slutpunkt, cloud, netværk eller e-mail på ét sted for at forbedre identifikationen og undersøgelsen af samt reaktionen på trusler. Det ligner i høj grad det, som Logpoint-platformen kan. Hvad er forskellen så?

Selvom SIEM, SOAR og XDR deler visse funktioner, er deres tilgang og fokusområder forskellige.

En moderne SIEM-løsning er designet til at understøtte en lang række sikkerhedsrelaterede og ikke-sikkerhedsrelaterede overvågningsbehov. XDR-platforme koncenterer sig til gengæld typisk om 2-3 use cases inden for sikkerhed, som de håndterer rigtig godt.

Hvis du har brug for compliance, sikkerhedsundersøgelser, datalagring, adfærdsanalyse, identifikation fra andre telemetrikilder eller ikke-sikkerhedsrelaterede rapporter og dashboards, er en SIEM-, SOAR- og UEBA-løsning det, du har brug for. Den gode nyhed? Logpoint har samlet disse separate værktøjer for at forenkle sikkerhedsdriften i én enkelt kerneplatform.  

XDR har begrænset dækning med hensyn til datakilder og tilbyder ikke længere datalagringskapacitet som et SIEM-system, da 30 dage ofte er nok til centrale XDR-use cases. Derfor er synlighed på SIEM-niveau afgørende for at finde den grundlæggende årsag til nutidens meget komplekse angreb.

Da XDR’er ikke kan levere alle de ønskede use cases på grund af den begrænsede funktionalitet og de datakilder, der understøttes, anbefales det ikke, at sikkerhedsteams bruger en XDR-platform uden et SIEM-system. Tilføjelsen af en XDR-platform oven i et SIEM-system kan dog være gavnligt for udvidelsen af TDIR-funktionerne i nogle tilfælde.

Sammenligningen af XDR med SIEM og SOAR er dog forkert.  Vi mener ikke, at XDR er en erstatning for SIEM og SOAR, men fungerer som en erstatning for EDR i et SOC. Ingen XDR’er opfylder alle modne SOC’ers behov, fordi XDR ikke kan erstatte SIEM- og SOAR-funktionalitet i alle use cases, og der mangler en holistisk tilgang til effektiv understøttelse af sikkerhedshandlinger. Når man ser på SIEM- og SOAR-værktøjer, skal XDR behandles som et valgfrit supplerende produkt.

 

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint