网络安全行业充满了行话、缩写和首字母缩略。随着复杂攻击媒体的翻倍,从终端到网络再到云,许多企业正面临着应对先进攻击的新方法:扩展检测和响应,产生了另一个首字母缩略:XDR。尽管 XDR 今年受到业界的广泛关注,但 XDR 仍然是一个不断发展的概念。
什么是 XDR?XDR 与 EDR 有什么区别?SIEM和SOAR一样吗?
2020多年来,随着远程办公的增加,网络攻击也进一步加剧,XDR热度继续上升。2020年,Gartner将XDR它被命名为最大的安全趋势,并表示XDR解决方案将“提高检测精度,提高安全运行效率和生产率。”
作为 EDR 市场领导者和新兴 XDR 技术的先驱,我们经常被要求阐明它的含义以及它如何最终帮助提供更好的防御效果。这篇文章旨在澄清一些关于 XDR 和 EDR、SIEM 和 SOAR 之间的区别。
什么是 EDR?
EDR (Endpoint Detection and Response)使组织能够监控终端的可疑行为,并记录每个活动和事件。然后提供关键的上下文来检测先进的攻击,并最终运行自动响应活动,例如几乎实时地将感染的终端与网络隔离。终端检测和响应是通过记录终端和网络事件(如用户、文件、流程、注册表、内存和网络事件),将该信息存储在终端或集中数据库中的主动终端安全解决方案。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析数据库连续搜索数据和机器学习技术,监控任何可能的安全攻击,并快速响应。它还有助于快速调查攻击范围并提供响应能力。
什么是 XDR?
XDR 是 EDR、尽管 EDR 收集和关联多个终端的活动,但 XDR 为了提供跨终端、网络、服务器、云工作负载,将检测范围扩大到终端以外SIEM 等的检测、分析和响应。
这为跨多个工具和攻击媒体提供了统一的单一管理平台视图。这种改进的可见性提供了这些攻击的背景信息,以帮助分类、调查和快速修复。
XDR 自动收集和关联多个安全向量数据,促进更快的攻击检测,使安全分析师在攻击范围扩大之前能够快速响应。集成和预调整的检测机制有助于提高生产力、攻击检测和证据收集。
简而言之,XDR 扩展到终端以外,可以根据来自更多产品的数据做出决策,电子邮件、网络和身份采取行动,在整个堆栈中采取防御措施。
XDR 与 SIEM 有何不同?
当我们谈论 XDR 有人认为我们以不同的方式描述安全信息和事件管理 (SIEM) 工具,但 XDR 和 SIEM 是两种不同的东西。
安全信息事件管理 (SIEM)从整个企业收集、聚合、分析和存储大量日志数据,SIEM 以一种非常广泛的方式开始了它的旅程:从整个企业的几乎任何来源收集可用的日志和事件数据,以便存储多个用例。它包括治理和合规性、基于规则的模式匹配、启发性/行为攻击检测(如 UEBA),跨遥测源寻找 IOC 或攻击指标。SIEM解决方案就像飞行员和空中交通管制员使用的雷达系统。如果没有数据安全管理解决方案,企业 IT 无异于在“盲飞”状态。虽然安全设备和系统软件擅长捕捉和记录孤立攻击和威胁的异常行为,但今天最严重的威胁是分布式的,跨系统工作,并使用先进的逃避技术来避免威胁情报检测。如果没有SIEM在安全信息事件管理中,攻击将发生并发展成灾难性事件。
然而,SIEM 工具需要大量的微调和努力。安全团队也可能来自 SIEM 大量警报淹没,导致 SOC 忽略关键警报。此外,即使 SIEM 从数十个来源和传感器捕获数据,仍然是发出警报的被动分析工具。
XDR 平台旨在解决 SIEM 工具有效地检测和响应针对性攻击的挑战,包括行为分析、攻击情报、行为分析和分析。
XDR 与 SOAR 有什么区别?
成熟的安全运营团队使用安全安排和自动响应 (SOAR) 平台构建和运行多阶段剧本API 生态系统自动执行连接安全解决方案。相比之下,XDR 将通过 Marketplace 实现生态系统集成,为第三方安全控制提供简单的操作自动化机制。
SOAR复杂、昂贵,需要高度成熟SOC实现和维护合作伙伴的整合。XDR的目标是“SOAR-lite”,即提供简单、直观、零代码的解决方案XDR从平台到连接安全工具的操作能力。
什么是 MXDR?
托管扩展检测及响应 (MXDR) 将 MDR 服务扩展到整个企业,以获得完全托管的解决方案,其中包括跨终端、网络和云环境的安全分析和操作、高级攻击搜寻、检测和快速响应。
MXDR 服务通过 MDR 服务增强了客户 XDR 提供额外的监控、调查、攻击搜索和响应功能。
为什么XDR越来越受欢迎越来越受欢迎
XDR 取代了孤立的安全性,帮助组织从统一的角度应对网络安全挑战。单一原始数据池包含整个生态系统信息,XDR 允许比 EDR 从更广泛的来源收集和整理数据,攻击检测和响应更快、更深入、更有效。
XDR 为攻击提供更多的可见性和背景信息,以前无法处理的事件将浮出水面,使安全团队能够纠正和减少任何进一步的影响,并尽量减少攻击范围。
典型的勒索软件攻击将通过互联网到达电子邮件收件箱,然后攻击终端。通过独立检查每个变量来解决安全问题将使组织处于不利地位。XDR整合不同的安全控制,提供跨企业安全领域的自动化或一键响应操作,如禁止用户访问、强制多因素身份验证、防止站点和文件哈希等,这些都是通过用户编写的定制规则或内置在标准响应引擎中的逻辑实现的。
单一原始数据池包含来自整个生态系统的信息,XDR 允许比 EDR 攻击检测和响应更快、更深入、更有效,测和响应更快、更深入、更有效。
这括:
- 平均检测时间通过跨数据源的关联减少(MTTD);
- 通过加快分类和减少调查和范围的时间来减少平均调查时间 (MTTI);
- 通过简单、快速和相关的自动化来减少平均响应时间 (MTTR);
- 提高整个安全领域的可见性;
此外,由于人工智能和自动化,XDR 有助于缓解安全分析师的手动负担。XDR 解决方案可以主动快速检测复杂攻击,提高安全性或 SOC 团队的生产力为组织带来了巨大的投资回报。
本文翻译自: https://www.sentinelone.com/blog/understanding-the-difference-between-edr-siem-soar-and-xdr/如果转载,请注明原始地址。