Open XDR против SIEM

By /

Безопасность на основе искусственного интеллекта, Искусственный интеллект, Cloud Security, Информационная безопасность, Open XDR, Open XDR Платформа, технология безопасности, XDR


Соответствие ресурсов и бизнес-рисков правильному решению

Обеспечение прозрачности и реагирование на атаки по всей инфраструктуре предприятия (конечные точки, серверы, приложения, SaaS, облако, пользователи и т. Д.) - очень сложная задача в сегодняшней среде кибербезопасности. Предприятия вынуждены создавать сложные стеки безопасности, состоящие из SIEM, UEBA, СОАР, МЭД, NDR, СОВЕТ и другие инструменты для решения этой задачи. Для многих предприятий SIEM является основным инструментом для агрегирования и анализа данных из инфраструктуры. Почти половина предприятий сообщают, что они недовольны своей SIEMs [1], но все предприятия быстро укажут на количество капитала, времени и ресурсов, которые они вложили в создание и поддержание своих SIEMs. Open XDR появляется как новый подход, решающий задачу обеспечения прозрачности и реагирования на атаки по всей корпоративной инфраструктуре. В этой статье мы рассмотрим, как Open XDR и SIEM соответствуют требованиям безопасности.

Определяющий Open XDR

Gartner определяет XDRили расширенное обнаружение и реагирование, как «единая платформа обнаружения и реагирования на инциденты безопасности, которая автоматически собирает и сопоставляет данные из множества собственных компонентов безопасности». Это определение, датируемое 2020 годом, не охватывает Open XDR в качестве новой категории XDR который собирает и сопоставляет данные со всех существующих компонентов безопасности, а не только ( изучите наши патенты), или от одного производителя. Так, Open XDR определяется так же, как Gartner XDR определение, за исключением того, что оно заканчивается на «Все существующие компоненты безопасности, предоставляемые через открытую архитектуру», Открытые против нативных XDR Различия подробно обсуждаются в другой статье. В этой статье мы сосредоточимся на Open XDR по сравнению с SIEM. Так Open XDR Для выполнения обещания, данного в вышеприведенном определении, необходимо соответствовать следующим техническим требованиям:

  • Возможность развертывания - Облачная архитектура микросервисов для масштабируемости, доступности и гибкости развертывания
  • Слияние данных - Централизовать, нормализовать и обогатить данные по всей поверхности атаки, включая сеть, облако, конечные точки, приложения и идентификационные данные
  • Обнаружение -  Встроенное автоматическое обнаружение через Машинное обучение 
  • Корреляция - Высокоточное коррелированное обнаружение с помощью нескольких инструментов безопасности
  • Интеллектуальный ответ - Один щелчок или автоматический ответ с той же платформы.

Звук похож на SIEM плюс немного SOAR? Потому что это так. Однако есть существенные архитектурные отличия, которые позволяют Open XDR выполнить многие из обещаний SIEMs в котором SIEMs потерпели неудачу.
Определяющий Open XDR

Определяющий SIEM

Gartner определяет SIEMили управление информацией и событиями безопасности (SIEM) — это технология, которая «поддерживает обнаружение угроз, соответствие требованиям и управление инцидентами безопасности посредством сбора и анализа (как в режиме, близком к реальному времени, так и исторических данных) событий безопасности, а также широкого спектра других источников данных о событиях и контексте». Это определение заметно похоже на определение XDRНаибольшие различия заключаются в архитектуре, но это чисто дефинитивное различие. SIEM Название было дано в честь его главной цели – управления информацией и мероприятиями. XDR Название также отражает основное предназначение устройства – обнаружение и реагирование. Это может показаться незначительным моментом, но именно это различие в бизнес-целях определяет архитектурный подход и объясняет, почему... SIEMВ современных условиях обеспечения безопасности подобные проекты требуют значительных капиталовложений.

Архитектуры по сравнению

Это сравнение фокусируется только на различиях. Существует ряд технических сходств, включая долгосрочное хранение, открытую интеграцию с инструментами безопасности, облачность, а также эффективный поиск и отслеживание угроз.
Однако Open XDR имеет пять ключевых архитектурных отличий от SIEMs:

  1. Данные принудительно переводятся в нормализованное и обогащенное состояние, и это делается до того, как данные будут сохранены в озере данных.
  2. Обнаружение и сопоставление предупреждений автоматически управляются ИИ в Open XDRне правила, написанные человеком, как в случае с SIEMs.
  3. Инциденты возникают на основе взаимосвязанных оповещений, на основе которых координируется единое реагирование на одной и той же платформе, в отличие от... SIEMкоторая отправляет оповещения на другую платформу SOAR, которая затем выполняет последующую корреляцию и реагирование.
  4. Многие инструменты, необходимые для операций по обеспечению безопасности, унифицированы, например Озеро больших данных, UEBASOAR, TIP, NDR or EDR на одной платформе, в то время как многие SIEMвключают только Озеро больших данных, принудительное SIEM пользователи могут вручную комбинировать множество сложных инструментов вместе.

Различия 1 и 2 взаимосвязаны. Для создания и поддержания эффективного ИИ в любой отрасли необходимо решить проблему данных. В сфере безопасности это означает, что данные должны быть централизованы, нормализованы и обогащены для уменьшения их сложности. Если данные моделируются по-разному при каждом развертывании платформы, поддерживать модели ИИ станет невыполнимой задачей. XDR Это заставляет моделировать данные одинаковым образом во всех развертываниях, прежде чем данные попадут в озеро данных; данные доступны только в нормализованном и обогащенном состоянии. SIEM Либо эта функция предоставляется в качестве дополнительной, либо отсутствует вовсе; в случае дополнительной функции нормализация и обогащение рассматриваются как этап постобработки уже сохраненных исходных данных.

Итак, о технических различиях 1 и 2, Open XDR принудительно нормализует и обогащает данные, поэтому он способен создавать значимый ИИ, который коррелирует события и предупреждения вместе. По тем же причинам SIEM Архитектура не способна создать движок искусственного интеллекта с той же точностью из-за особенностей обработки данных. SIEMs смогут использовать ИИ, но масштабировать его будет сложно.

Техническая разница 3 сводится к Open XDR выполнение корреляции и ответа на одной платформе. Конструкция инцидента более высокого порядка (несколько связанных предупреждений) автоматически создается в Open XDR Платформа, и на это реагируют комплексно. А SIEM должен передавать оповещения в SOAR, который должен соотносить предупреждения вместе с правилами без глубокого контекста всего, что происходит в среде. Open XDR выдает ответ точно так же, как SIEM И SOAR это делает, но точность отклика значительно выше при использовании XDR потому что все операции выполняются на одной платформе, где доступны все данные, включая обнаружение угроз и корреляцию на основе искусственного интеллекта.

Последнее техническое различие связано с подходом к созданию и поддержанию общего стека безопасности. Open XDR Он был разработан для объединения всех ключевых инструментов обеспечения безопасности, чтобы их можно было координировать с одной платформы. SIEMПредлагаются длинные списки плагинов и широкие возможности настройки, но это возлагает ответственность за создание и конфигурацию системы на пользователей.

Для предприятия эти технические различия влияют на капитал, время и ресурсы, необходимые для функционирования платформы безопасности. SIEMЭто технологии с открытым концом, поэтому их эксплуатация будет дорогостоящей. Open XDR Платформы представляют собой предписывающие технологии безопасности, и поэтому предприятия будут намного эффективнее их использовать.

Наконец, хотя это и не строго технические различия, существуют две области, где SIEMВ последнее время основное внимание уделяется хранению больших объемов данных, связанных с соблюдением нормативных требований, и использованию одной и той же платформы для ИТ-операций. XDR Она разработана для обнаружения и реагирования. Она по-прежнему может соответствовать требованиям соответствия, но изначально не была для этого предназначена. Операции ИТ на той же платформе – это то, что возможно только в этом случае. SIEM может заявить, что Open XDR Основное внимание уделяется безопасности.

А что насчет НГО?SIEMs?

«Следующее поколение» означает что-то лучшее, а не иное. НГ-SIEMs лучше чем SIEMs в гипотетическом смысле. Open XDR отличается от обоих. NG-SIEMЭто привело к огромным успехам во многих областях, где существовали устаревшие технологии. SIEMs не соответствовали требованиям сегодняшней среды безопасности. Заметные улучшения:

  • Использование технологий больших данных (больше не рекомендуется) SIEM постоянно падает)
  • Некоторый анализ поведения пользователей и сущностей (UEBA) через различные алгоритмы
  • Улучшения UI / UX для ключевых рабочих процессов, таких как Threat-Hunting.
  • Собственная или открытая интеграция с SOAR
  • Плагины моделирования данных.

НГ-SIEMs безусловно, сократить разрыв в возможностях между Open XDR и SIEMОднако архитектурные различия остаются неизменными.

Некоторые поставщики утверждают, что предлагают SIEM И Ан XDR Платформа – в чем причина?

Есть много общего между SIEM и Open XDRКак отмечалось выше, технические различия незначительны, но имеют серьезные последствия для коммерческой ценности и капитала, необходимого для функционирования. Поставщики, использующие оба варианта, делают два заявления: SIEM и Open XDR описать свой продукт.

Первое, что могут сделать поставщики, это то, что они могут использовать SIEM Возможности» сослаться на их Open XDR Платформа обладая всеми важными возможностями SIEM – открытый сбор данных, хранение, поиск, отчетность, облачные технологии – как способ описать, как Open XDR может быть развернут в корпоративной системе безопасности, в частности, для замены существующей. SIEM.

Второе заявление, которое могут сделать поставщики, - это сказать, что их платформа является одновременно SIEM и Open XDR ПлатформаЭто сложный момент, призванный обеспечить, чтобы продавец не упустил потенциальные возможности в рамках категорийного маркетинга и мог продавать товар покупателям независимо от того, ищут ли они его. SIEM or Open XDRОднако, как обсуждалось выше, SIEM и Open XDR Они разные, поэтому один и тот же продукт не может быть и тем, и другим.

Преодоление пути столкновения XDR И, SIEM

XDR находится на пути столкновения с SIEM и SOAR, как отмечает Forrester [2]. Предприятиям необходимо подходить к обеим категориям технологий, учитывая их долгосрочные бизнес-результаты и имеющиеся ресурсы. Что важнее: высокая точность, автоматическое обнаружение и реагирование «из коробки»? Критически ли важна возможность реагирования с одной и той же платформы одной и той же командой для сокращения времени пребывания атаки в системе? Не хватает ли команде персонала и/или требуется ли много обучения для работы с инструментом? Это ключевые вопросы, которые предприятия должны задать себе при определении своей стратегии обеспечения безопасности и принятии решения о том, следует ли использовать SOAR. XDR or SIEM правильно для них.

Похожие статьи

Наверх
Подпишитесь на рассылку новостей