St. Gallen Locherbräau

Kann XDR eine SIEM/SOAR-Lösung im SOC ersetzen?

Die Evaluation von EDR, XDR, SIEM und SOAR-Lösungen, sowie die Implementierung eines SOC-Services stehen bei vielen unserer Kunden oben auf der Traktandenliste. XDR, SIEM und SOAR verfolgen verschiedene Ansätze. Der XDR-Ansatz birgt Potential zur schnelleren, effizienteren und kostengünstigeren Behandlung von Security Vorfällen.

Definition

Die Cyber Security Branche entwickelt sich sehr schnell. Die Begriffe XDR, SIEM und SOAR noch für viele interne IT-Organisationen Fremdworte und auch in der Fachwelt nicht immer gleich definiert. Die Technologien sind in unserem Verständnis so zusammenzufassen.

EDR – Endpoint Detection & Response
System zur Erkennung und Behebung sicherheitsrelevanten Ereignissen auf einem Endpunkt (z.B. Client, Server).

XDR – Extended Detection & Response
System zur Erkennung und Behebung sicherheitsrelevanten Ereignissen auf einem Endpunkt, ergänzt mit Informationen aus zusätzlichen Quellen und Reaktionsmöglichkeiten.

SIEM – Security Information & Event Management
System zur systematischen Erfassung von sicherheitsrelevanten Informationen und Events.

SOAR – Security Orchestration, Automation and Responses
System zur Orchestrierung und Automatisierung von sicherheitsrelevanten Systemen und Events

SOC – Security Operations Center
Team, Abteilung oder Service in dem sicherheitsrelevante Ereignisse zusammengeführt und bearbeitet werden.

Unterschiede

Vereinfacht erklärt startet XDR jeweils mit einem Incident der EDR-Lösung. Dieser löst aufgrund der Policy eine automatische Response aus. Die als XDR bezeichnete Komponente ist dann die darauffolgende Ergänzung des Incidents mit Informationen aus anderen Quellen. Dies kann weitere automatische Reaktionen auslösen. Zusätzliche Daten stehen dann dem Analysten zur Beurteilung zur Verfügung.

Ein SIEM basiert auf der Sammlung möglichst vieler Daten, egal ob diese spezifisch zu Securityzwecken gesammelt wurden oder einfach im normalen Betrieb anfallen. Diese werden dann analysiert und korreliert und schliesslich werden Incidents generiert. Die Incidents werden durch den Analysten bearbeitet und/oder gegebenenfalls durch eine SOAR-Komponente automatisiert. Anschliessend wir die gewünschte Reaktion ausgelöst.

Potential

MTTR (Mean-Time-To-React / Mean-Time-To-Repair)
Die schnelle und automatische Reaktion steht im Zentrum. Eine menschliche Analyse wird erst im Nachgang benötigt und es existiert kein zusätzlich zu unterhaltendes Orchestrierungsoverlay.

Spin-up Time
Finanziell und organisatorisch sinkt die Einstiegshürde, dennder XDR-Ansatz kann mit der Anschaffung einer geeigneten EDR-Lösung direkt verfolgt werden, in dem diese mit den vorhandenen Security-Lösungen verbunden wird.

Fokus
Durch die reduzierte Komplexität und vereinfachte Triage reduziert sich der Aufwand für die Mitarbeitenden und sie können sich auf die am höchsten zu priorisierenden Vorfälle fokussieren.

Fazit

Eine XDR-Lösung bietet einen schnellen, effizienten und kostengünstigen Weg, um einen grundlegenden Security-Betrieb aufzubauen. Sie kann dabei bei entsprechenden Ressourcen mit einem SIEM oder SOAR kombiniert werden, um die Abdeckung zu erhöhen. In einem bestehenden SOC kann eine XDR-Lösung wiederum die Abdeckung erhöhen oder auch einzelne Komponenten ersetzen.

Weiterführende Links