Noen ganger kan ulike verktøy ha overlappende funksjoner/egenskaper, noe som kan vise seg å være forvirrende for beslutningstakere. I dette korte blogginnlegget prøver jeg å vise forskjellene mellom verktøyet Security Information and Event Management (SIEM) og Endpoint Detection and Response (EDR).

Noen ganger har ulike nettsikkerhetsverktøy overlappende funksjoner og egenskaper, og det kan forvirre beslutningstakerne. I dette blogginnlegget ser vi på forskjellene mellom verktøyet Security Information and Event Management (SIEM) og Endpoint Detection and Response (EDR).

Hva er en EDR-løsning?

Tradisjonelt tilbyr grunnleggende nettsikkerhetsprogramvare beskyttelse gjennom signaturbaserte verktøy eller en SIEM. En EDR (Endpoint Detection and Response) er en komplementær SIEM-programvare som brukes til å øke deteksjons- og responskapasiteten.

Et “endepunkt” er enhver enhet som er et fysisk sluttpunkt på et nettverk. De kan være lokale eller eksterne enheter. Siden de gir adgang til organisasjonens ressurser eller applikasjoner, er “endepunkt”-sikkerhet viktig.

En EDR avgjør spesielt om ondsinnet programvare er installert på en endepunktsenhet og finner måter å svare på denne typen trusler på. Når EDR-løsningene er installert, bruker de agenter som er installert på et endepunkt til å samle inn data fra mange ulike typer datakilder direkte på endepunktet, og lagrer dem i en sentral database.

Disse dataene kommer vanligvis fra følgende kilder:

  • ARP
  • DNS
  • Sockets
  • Register
  • Minnedumper
  • Systemanrop
  • IP-adresser
  • Hardwaretyper

Når en EDR-løsning finner et hackingsforsøk eller en ondsinnet infiltrasjon, vil den umiddelbart gi deg en liste over anbefalt respons.

 

A typical threat hunting process

Alle EDR-er har dashboards eller rapporter, og det utføres dataanalyse. EDR-løsninger støtter for tiden Windows OS og vil etter hvert også støte andre plattformer som Linux, Unix, iOS eller Android.


Hva er en SIEM-løsning?

En SIEM-løsning (security information and event management solution) er et viktig risikostyringsverktøy for å oppdage trusler, undersøke og respondere.

En SIEM-løsning tilbyr et enkelt og sentralt sted for lagring og analyse av data, som kommer fra mange forskjellige loggkilder – og er ikke begrenset til endepunktsystemer. På denne måten gir SIEM mulighet til å koble sammen tidligere distinkte informasjonssiloer for å samle inn data og analysere data i sanntid, oppdage databrudd, lagre data og rapportere – noe som gir enkel, produktagnostisk innsikt for å muliggjøre hensiktsmessige handlinger og respons.

Etter hvert som alle institusjoner fullfører sine digitaliseringsreiser, er data nå sentrale i alle forretningsmodeller. Data og muligheten til å visualisere dem er verdifulle. Denne verdien øker dramatisk når den settes i kontekst. Når disse dataene støttes av informasjon om brukere, aktiva, trusler og sårbarheter, blir de handlingsrettet, og SIEM som støtter dette, øker avkastningen på investeringen.

Med en SIEM er det mulig å forstå mange forskjellige use-cases og koble til mange typer systemer med tilgang til ulike loggkilder, for eksempel: brannmurer, servere, IPS, proxyer osv. Siden SIEM støtter en rekke ulike plattformer, kan den brukes til avansert korrelasjon, loggadministrasjon og forensics.

Med LogPoint SIEM, er det heller ingen grense når det gjelder use-cases. LogPoint er i stand til å administrere ulike områder som IT-drift, IT-sikkerhet, Compliance og Business Analytics.

solving security management challenges

LogPoint SIEM gjør mye mer enn tradisjonell SIEM-programvare.

Vår SIEM-løsning samler inn, undersøker og registrerer effektivt hendelsesdata produsert av enhver enhet eller applikasjon i din infrastruktur, noe som gir deg den innsikten som er nødvendig for å definere trusselomfanget og ta viktige beslutninger.

Hva er forskjellene mellom SIEM og EDR?

En SIEM kan brukes til å samle inn data fra mange ulike typer datakilder og utføre avansert korrelasjon, loggbehandling eller forensics. Disse dataene kan genereres av applikasjoner, databaser, infrastruktur, sensitive ressurser, produksjonssystemer eller sikkerhetssystemer. Det er ingen grense når det gjelder støttede plattformer eller typen use-case.

En EDR bidrar til å undersøke, avdekke, prioritere og utbedre komplekse angrep – bare ved hjelp av endepunktsdata.

Anbefalinger

For å oppnå et mer effektivt forsvarssystem med flere lag, er det en fordel å kombinere disse to verktøyene: ved å bruke LogPoints kraftige SIEM-løsning til å samle inn data fra mange forskjellige loggkilder og legge til en EDR for individuelt nettverksfokus.

Siden en EDR bare fungerer med endepunktsdata, er det viktig å betrakte SIEM-løsningen som grunnleggende og en EDR som et komplementært tillegg. Strukturelt bruker en SIEM-løsning deretter en EDR som en annen loggkilde som gir verdifull informasjon.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint