Ibland kan olika verktyg ha överlappande funktioner/finesser vilket kan orsaka viss förvirring hos beslutsfattare. I det här korta blogginlägget förklaras skillnaderna mellan SIEM-verktyg (Security Information and Event Management) och EDR-verktyg (Endpoint Detection and Response).

Olika cybersäkerhetsverktyg kan ha överlappande funktioner och finesser vilket kan orsaka förvirring hos beslutsfattare. I det här blogginlägget beskrivs skillnaderna mellan SIEM-verktyg (Security Information and Event Management) och EDR-verktyg (Endpoint Detection and Response).

Vad är en EDR-lösning?

Traditionellt sett erbjuder grundläggande cybersäkerhetsprogram skydd genom signaturbaserade verktyg eller en SIEM-lösning. Ett EDR-system (Endpoint Detection and Response) är en kompletterande programvara för SIEM-system som används för att utöka detekterings- och responskapaciteten.

En ”slutpunkt” är en enhet som är den fysiska slutpunkten i ett nätverk. Dessa kan vara lokala eller fjärranslutna enheter. Eftersom de ger tillgång till en organisations tillgångar eller applikationer är slutpunktssäkerhet mycket viktigt.

I synnerhet så kan en EDR-lösning avgöra om skadlig programvara har installerats på en slutpunkt och hitta sätt att reagera på denna typ av hot. När en EDR-lösning väl har installerats använder den installerade programagenter på slutpunkten för att samla in data från många olika typer av datakällor direkt på slutpunkten och lagrar dem i en central databas.

Dessa data kommer vanligtvis från följande källor:

  • ARP
  • DNS
  • Sockets
  • Register
  • Minnesdumpar
  • Systemanrop
  • IP-adresser
  • Hardwaretyper

När en EDR-lösning upptäcker ett intrångsförsök eller en illasinnad infiltration visas omedelbart en lista över rekommenderade responser.

 

A typical threat hunting process

Alla EDR-lösningar tillhandahåller dashboards eller rapporter och dataanalys utförs///. EDR-lösningar stödjer för närvarande Windows OS och börjar även erbjuda stöd för andra plattformar så som Linux, Unix, iOS och Android.


Vad är en SIEM-lösning?

En SIEM-lösning(Security Information and Event Management solution) är ett centralt riskhanteringsverktyg för hotdetektion, undersökning och respons.

SIEM-lösningar används för att tillhandahålla en enda central plats för lagring och analys av data från många olika loggkällor – och är inte begränsat till slutpunkter. På så sätt erbjuder SIEM-lösningar möjligheten att ansluta tidigare distinkta informationssilon för att samla in data och analysera data i realtid, identifiera dataintrång, lagra data och rapportera – för lättbegripliga, produktagnostiska/// insikter för att möjliggöra lämpliga åtgärder och responser.

I takt med att institutioner blir alltmer digitaliserade är data numera centralt för alla affärsmodeller. Data och förmågan att visualisera databilden är avgörande. Värdet ökar dramatiskt när informationen används i rätt sammanhang. När data berikas med information om användare, tillgångar, hot och sårbarheter blir dessa data användbara och SIEM-systemet som stöder detta ökar avkastningen på investeringen.

Med en SIEM-lösning blir det möjligt att förstå många olika användningsfall och ansluta till många typer av system som har åtkomst till olika loggkällor, såsom brandväggar, servrar, IPS, proxyservrar osv. Eftersom SIEM-lösningar stödjer en mängd olika plattformar kan de användas för avancerad korrelation, logghantering och forensics.

Med LogPoint SIEM finns det dessutom inga gränser vad gäller användningsfall. LogPoint kan hantera olika discipliner som IT-drift, IT-säkerhet, Compliance och Business Analytics.

solving security management challenges

LogPoints SIEM-lösningar erbjuder mycket mer än traditionell SIEM-programvara.

Vår SIEM-lösning samlar effektivt in, undersöker och registrerar händelsedata som genereras av alla enheter eller applikationer i din infrastruktur, vilket ger dig den insikt som krävs för att definiera omfattningen av eventuella hot och fatta avgörande beslut.

Vilka är skillnaderna mellan SIEM och EDR?

Ett SIEM-lösning kan användas för att samla in data från många olika typer av datakällor och för att genomföra avancerad korrelering, logghantering eller forensics. Dessa data kan genereras av applikationer, databaser, infrastruktur, känsliga tillgångar, industriella system eller säkerhetssystem. Det finns ingen gräns för vilka plattformar som stöds eller typer av användningsfall.

EDR-lösningar hjälper till att undersöka, avslöja, prioritera och åtgärda komplexa attacker, specifikt och endast med utifrån slutpunktsdata.

Rekommendationer

För att kunna skapa ett flerskiktat och mer effektivt försvar kan dessa två verktyg med fördel kombineras: genom att utnyttja kraften i LogPoints SIEM-system för datainsamling från många olika typer av loggkällor och att lägga till en EDR-lösning för individuellt nätverksfokus.

Eftersom EDR-lösningar endast fungerar med slutpunktsdata är det viktigt att betrakta SIEM-lösningar som grundläggande och EDR-lösningar som ett komplement. Strukturmässigt utnyttjar en SIEM-lösning en EDR-lösning som loggkälla som ger värdefull information.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint