ceruno-blog-siem-soar-soc

Kann XDR eine SIEM/SOAR-Lösung im SOC ersetzen?

Kann XDR eine SIEM/SOAR-Lösung im SOC ersetzen?

Die Evaluation von EDR, XDR, SIEM und SOAR-Lösungen, sowie die Implentierung eines SOC-Services stehen bei vielen unserer Kunden oben auf der Traktandenliste. XDR, SIEM und SOAR verfolgen verschiedene Ansätze. Der XDR-Ansatz birgt Potential zur schnelleren, effizienteren und kostengünstigeren Behandlung von Security Vorfällen.

Definition

Die Cyber Security Branche entwickelt sich sehr schnell. Die Begriffe XDR, SIEM und SOAR noch für viele interne IT-Organisationen Fremdworte und auch in der Fachwelt nicht immer gleich definiert. Die Technologien sind in unserem Verständnis so zusammenzufassen.

EDREndpoint Detection and ResponseSystem zur Erkennung und Behebung von sicherheitsrelevanten Ereignissen auf einem Endpunkt (z.B. Client, Server).
XDRExtended Detection and ResponseSystem zur Erkennung und Behebung von sicherheitsrelevanten Ereignissen auf einem Endpunkt, ergänzt mit Informationen aus zusätzlichen Quellen und Reaktionsmöglichkeiten.
SIEMSecurity Information and Event ManagementSystem zur Erfassung von sicherheitsrelevanten Informationen und Events.
SOARSecurity Orchestration, Automation and ResponseSystem zur Orchestrierung und Automatisierung von sicherheitsrelevanten Systemen und Events.
SOCSecurity Operations CenterTeam, Abteilung oder Service in dem sicherheitsrelevante Ereignisse zusammengeführt und bearbeitet werden.

Unterschiede

Vereinfacht erklärt startet XDR jeweils mit einem Incident der EDR-Lösung. Dieser löst aufgrund der Policy eine automatische Response aus. Die als XDR bezeichnete Komponente ist dann die darauffolgende Ergänzung des Incidents mit Informationen aus anderen Quellen. Dies kann weitere automatische Reaktionen auslösen. Zusätzliche Daten stehen dann dem Analysten zur Beurteilung zur Verfügung.

Ein SIEM basiert auf der Sammlung möglichst vieler Daten, egal ob diese spezifisch zu Securityzwecken gesammelt wurden oder einfach im normalen Betrieb anfallen. Diese werden dann analysiert und korreliert und schliesslich werden Incidents generiert. Die Incidents werden durch den Analysten bearbeitet und/oder gegebenenfalls durch eine SOAR-Komponente automatisiert. Anschliessend wir die gewünschte Reaktion ausgelöst.

Potential

MTTR (Mean-Time-To-React / Mean-Time-To-Repair)
Die schnelle und automatische Reaktion steht im Zentrum. Eine menschliche Analyse wird erst im Nachgang benötigt und es existiert kein zusätzlich zu unterhaltendes Orchestrierungsoverlay.

Spin-up Time

Finanziell und organisatorisch sinkt die Einstiegshürde, denn der XDR-Ansatz kann mit der Anschaffung einer geeigneten EDR-Lösung direkt verfolgt werden, in dem diese mit den vorhandenen Security-Lösungen verbunden wird.

Fokus

Durch die reduzierte Komplexität und vereinfachte Triage reduziert sich der Aufwand für die Mitarbeitenden und sie können sich auf die am höchsten zu priorisierenden Vorfälle fokussieren.

Fazit

Eine XDR-Lösung bietet einen schnellen, effizienten und kostengünstigen Weg, um einen grundlegenden Security-Betrieb aufzubauen. Sie kann dabei bei entsprechenden Ressourcen mit einem SIEM oder SOAR kombiniert werden, um die Abdeckung zu erhöhen. In einem bestehenden SOC kann eine XDR-Lösung wiederum die Abdeckung erhöhen oder auch einzelne Komponenten ersetzen.

Links

  • https://www.sentinelone.com/blog/understanding-the-difference-between-edr-siem-soar-and-xdr/
  • https://www.crowdstrike.com/cybersecurity-101/what-is-xdr/xdr-vs-siem-vs-soar/
preloader image