17.04.2023

XDR, SIEM oder SOAR

XDR SIEM SOAR.JPG

Was ist XDR? Ist XDR ein Ersatz für SIEM- und SOAR-Lösungen? Worauf sollten Unternehmen bei einer XDR-Lösung achten? In diesem Beitrag beantworten wir diese und andere häufig gestellte Fragen, um Sicherheitsexperten dabei zu helfen, sich in einer komplexen und überfüllten Lösungslandschaft zurechtzufinden. Doch bevor wir uns mit den Feinheiten dieser Systeme befassen, sollten wir zunächst einige grundlegende Fragen beantworten:

- Was ist XDR?
- Was ist SIEM?
- Was ist SOAR?

Was ist XDR?

Extended Detection and Response (XDR) ist die nächste Evolutionsstufe von Endpoint Detection and Response (EDR). XDR verfolgt einen ganzheitlichen Ansatz für die Erkennung von und Reaktion auf Bedrohungen und vereint Analyse, Prävention und Wiederherstellung (Recovery) über den gesamten Sicherheitsbereich eines Unternehmens hinweg. Mit einer einzigen Konsole zum Anzeigen und Verarbeiten von Bedrohungsdaten ermöglicht XDR Sicherheitsteams die mühelose Aufdeckung verborgener und fortschrittlicher Bedrohungen und die Automatisierung komplexer, mehrstufiger Reaktionen über alle Sicherheitstechnologien hinweg.

XDR-Funktionen:

  • Sammeln, Korrelieren und Analysieren von Daten von Endpunkten, Cloud-Workloads, Netzwerken und E-Mails durch fortschrittliche Automatisierung und künstliche Intelligenz (KI)
  • Priorisierung von Daten und Bereitstellung von Erkenntnissen für Sicherheitsteams in einem normalisierten Format über eine einzige Konsole
  • Koordinierung isolierter Sicherheitstools, Vereinheitlichung und Rationalisierung von Sicherheitsanalysen, Untersuchungen und Abhilfemaßnahmen in einer konsolidierten Konsole
  • Kann als verwaltete (managed) Lösung den Zugriff auf erfahrene Experten für Threat Hunting, Threat Intelligence und Analytics beinhalten


Dank dieser Funktionen verbessert XDR die Transparenz von Bedrohungen erheblich, beschleunigt die Sicherheitsabläufe, senkt die Gesamtbetriebskosten (TCO) und entlastet das eigene Security-Team.


Was ist SIEM?

Security Information and Event Management (SIEM) ist eine Reihe von Tools und Diensten, die Funktionen für die Verwaltung von Sicherheitsereignissen (SEM) und die Verwaltung von Sicherheitsinformationen (SIM) kombinieren, um Analysten in die Lage zu versetzen, Protokoll- und Ereignisdaten zu überprüfen, Bedrohungen zu verstehen und sich auf sie vorzubereiten sowie Log-Daten abzurufen und Berichte zu erstellen.


SIEM-Funktionen:

  • Sammeln von Log-Daten aus dem gesamten Unternehmen; Nutzung der Daten zur Identifizierung, Kategorisierung und Analyse von Vorfällen und Ereignissen.
  • Einblick in bösartige Aktivitäten, indem Daten aus allen Bereichen einer Umgebung abgerufen werden, einschließlich aller Netzwerkanwendungen.
  • Korreliert und zentralisiert alle Daten in einer einzigen Plattform.
  • Stellt Daten bereit, die zur Erstellung von Warnungen, Berichten und zur Unterstützung der Reaktion auf Vorfälle genutzt werden können.


SIEM ermöglicht es Unternehmen, jederzeit Daten aus allen Netzwerkanwendungen zu analysieren. Dies kann Unternehmen dabei helfen, potenzielle Sicherheitsbedrohungen zu erkennen, bevor sie die Chance haben, den Geschäftsbetrieb zu stören.


Was ist SOAR?

Security Orchestration, Automation and Response (SOAR) wurde entwickelt, um die Cybersicherheitslage eines Unternehmens zu verbessern. Eine SOAR-Plattform ermöglicht es einem Sicherheitsanalystenteam, Sicherheitsdaten aus einer Vielzahl von Quellen zu überwachen, darunter Sicherheitsinformations- und -managementsysteme sowie Bedrohungsdatenplattformen.


SOAR-Funktionen:

  • Sammeln von Bedrohungsinformationen, Automatisieren von Routinereaktionen und Triage komplexerer Bedrohungen, wodurch die Notwendigkeit menschlichen Eingreifens minimiert wird.
  • Zusammenführung von drei Softwarelösungen – Vulnerability Management, Incident Response und Automatisierung von Sicherheitsabläufen - zur Stärkung der Sicherheit.
  • Nutzung von manuellen und menschlichen Eingriffen sowie von Technologien für maschinelles Lernen (ML), um eingehende Sicherheitsdaten zu analysieren und Maßnahmen zur Reaktion auf Vorfälle nach Prioritäten zu ordnen.


Das übergeordnete Ziel einer SOAR-Plattform besteht darin, bedrohungsbezogene Daten zu sammeln und die Reaktion auf Bedrohungen zu automatisieren. Ihr Sicherheitsteam kann durch den Einsatz einer SOAR-Plattform die Effizienz und Reaktionszeit erhöhen.


Was sind die Hauptunterschiede zwischen SIEM, SOAR und XDR?

XDR, SIEM und SOAR adressieren zwar ähnliche Anwendungsfälle, verfolgen aber grundlegend unterschiedliche Ansätze.

SIEM ist in erster Linie ein Tool zum Sammeln von Log-Daten, das die Einhaltung der Compliance sowie die Speicherung und Analyse von Daten unterstützen soll.

SOAR hingegen, integriert Orchestrierungs-, Automatisierungs- und Reaktionsfunktionen in das SIEM und ermöglicht es, unterschiedliche Sicherheitstools miteinander zu koordinieren. Die bidirektionale Konnektivität ist jedoch der Punkt, an dem SOAR beginnt und endet. SOAR ist zwar wertvoll, löst aber weder die Herausforderung der Big Data-Analyse noch schützt es Daten oder Systeme allein.

XDR ist angetreten, um die von SIEM und SOAR entstandene Lücke durch einen deutlich anderen Ansatz zu füllen, der in Endpunktdaten und -optimierung verankert ist. XDR verfügt über fortschrittliche Analysefunktionen, die es dem Unternehmen ermöglichen, sich auf die Ereignisse mit der höchsten Priorität zu konzentrieren und schnell zu reagieren.


FAQ zu SIEM, SOAR und XDR

Wie ist die Beziehung zwischen SIEM und SOAR?

In vielen Fällen werden SOAR und SIEM gemeinsam eingesetzt. Die beiden Plattformen ergänzen sich und können im Rahmen eines zweistufigen Prozesses für Ihren gesamten Sicherheitsbetrieb zusammenarbeiten:

1.    Der alleinige Zweck einer SIEM-Softwarelösung im Kontext der Cybersicherheit besteht darin, Warnmeldungen zu sammeln und an das Sicherheitspersonal zu senden, damit dieses sie untersuchen kann.

2.    Das SOAR-Tool verwendet Daten zu Sicherheitsproblemen, um die Reaktion zu automatisieren. SOAR nutzt auch künstliche Intelligenz, um ähnliche zukünftige Bedrohungen vorherzusagen und darauf zu reagieren.

Sie können sich die Beziehung zwischen SIEM und SOAR wie die eines Assistenten eines Managers vorstellen. Die SIEM-Lösung sammelt und korreliert Protokolle, um diejenigen zu identifizieren, die für eine Warnung in Frage kommen. Die SOAR kann Daten vom SIEM empfangen und dann die Führung bei der Lösung übernehmen.

Kurz gesagt: SIEM verfügt über Protokollspeicher- und Analysefunktionen, die SOAR-Plattformen in der Regel nicht bieten. Die SOAR hat Reaktionsmöglichkeiten, die das SIEM nicht hat. Ohne eine SOAR-Plattform müssten Sicherheitsteams eine Vielzahl von Schnittstellen außerhalb eines SIEM nutzen, um auf die vom SIEM erzeugten Daten und Erkenntnisse zu reagieren.

Ersetzt XDR SIEM und SOAR?

Die kurze Antwort lautet nein. XDR bietet Unternehmen zwar neue Sicherheitsfunktionen und verbesserten Schutz, kann und soll aber SIEM oder SOAR nicht vollständig ersetzen.

XDR ist kein Ersatz für SIEM, da SIEM auch für andere Zwecke als die Erkennung von Bedrohungen eingesetzt werden kann, z. B. für die Log-Daten-Verwaltung, die Einhaltung der Compliance und die Analyse und Verwaltung von Daten, die nicht mit Bedrohungen in Zusammenhang stehen. Ein XDR kann zwar oft bedrohungszentrierte Anwendungsfälle erfüllen und SIEM in dieser Hinsicht ersetzen, aber die Organisation wird immer noch andere Anforderungen haben, die von SIEM erfüllt werden müssen.

Was SOAR betrifft, so bietet diese Plattform wertvolle Orchestrierungsfunktionen, die dem Sicherheitsteam helfen, Ressourcen zu optimieren und Aktivitäten zu priorisieren. Eine XDR-Lösung verfügt in der Regel nicht über diese Funktionen, weshalb es wichtig ist, das SOAR-System zu pflegen und es in XDR zu integrieren.

Braucht mein Unternehmen alle drei Tools: SIEM, SOAR und XDR?

Ja - allerdings nicht unbedingt nur für Sicherheitszwecke. In diesem Artikel haben wir uns mit den unterschiedlichen Sicherheitsfunktionen von SIEM, SOAR und XDR befasst und aufgezeigt, wie diese Tools zusammenarbeiten, um die umfassendste und stabilste Sicherheitslösung zu bieten und auch andere Anwendungsfälle zu erfüllen. Wenn Unternehmen eine dieser drei kritischen Funktionen ignorieren, riskieren sie Sicherheitsverletzungen oder können andere Geschäftsanforderungen nicht erfüllen.

 

Gerne stellen wir Ihnen diese Technologien ausführlich in einem persönlichen Gespräch vor. Wir freuen uns auf Ihre Kontaktaufnahme!

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso