Im Zusammenhang mit Cybersecurity stossen Sie wahrscheinlich immer wieder auf verschiedene Abkürzungen: EDR, NAC, ZTNA, DLP — und viele andere.
Einige von diesen sind allerdings von weitaus grösserer Bedeutung für Ihr Unternehmen als die anderen. In diesem Blog werden wir die Unterschiede zwischen SIEM und XDR unter die Lupe nehmen und die Unterschiede zu SOAR hervorheben.
Contents
Was ist XDR?
Extended Detection & Response (XDR; Erweiterte Bedrohungs-Erkennung und Reaktion) ist eine Software-Lösung, die als‚Single Source of Truth‘ aus allen Daten der früher als Insellösungen betriebenen Cybersecurity-Tools fungiert.
Gartner definiert XDR als eine „einheitliche Plattform für Sicherheitsvorfall-Erkennung und Reaktion, die Daten aus zahlreichen proprietären Sicherheitskomponenten automatisch sammelt und zueinander in Beziehung setzt.“
Das bedeutet, eine XDR-Plattform führt Sicherheits-Telemetriedaten aus Endgeräten, Cloud-Applikationen, E-Mail-Clients, Servern und anderen Komponenten zusammen und stellt sie Sicherheitsteams auf einem zentralen Dashboard zum Zweck der Überwachung, Untersuchung und Reaktion auf Bedrohungen zur Verfügung.
Die Funktionsweise von XDR lässt sich in drei Schritte zusammenfassen:
- Die Plattform sammelt und normalisiert die Daten aus jeder Netzwerk-Komponente.
- XDR korreliert all diese Daten miteinander und nutzt dabei KI und maschinelles Lernen, um sich automatisch neuen Angriffsmustern und Methoden anzupassen und dadurch Anomalien und potentielle Angriffe jederzeit zu erkennen.
- XDR erleichtert die effiziente Reaktion durch die Priorisierung von Bedrohungen nach Schweregrad. Das macht es einfach für Sicherheitsteams, Entscheidungen noch schneller zu treffen. Das System kann ausserdem bestimmte Untersuchungsroutinen und Reaktionsmassnahmen automatisieren, mit denen sich früher menschliche Bearbeiter zeitaufwendig befassen mussten.
Was ist SIEM?
SIEM steht für „Security Information and Event Management“. Dabei handelt es sich – ähnlich wie XDR – um eine Lösung, die Unternehmen hilft, Cyberbedrohungen zu erkennen, zu analysieren und auf sie zu reagieren. SIEM dient dabei zur Überwachung, Bedrohungserkennung und Vorfallsreaktion in Echtzeit und unterstützt die Einhaltung geltender Vorschriften.
Die Hauptkomponenten von SIEM:
Datenerfassung
SIEM deckt ein breites Spektrum an Netzwerkquellen ab, einschliesslich Endgeräte, Server und Applikationen. Zu diesem Zweck sammelt SIEM Protokolldaten, Sicherheitsvorfall-Daten und Systemaktivitätsprotokolle.
Protokollmamagement
SIEM ermöglicht ein zentralisiertes Management von Protokolldaten für einfache Suche, Wiederherstellung und Speicherung von Protokolldaten zum Nachweis der Einhaltung von Vorschriften und/oder für Untersuchungszwecke.
Ereignis-Korrelation
Ähnlich wie XDR analysiert und korreliert SIEM Protokolldaten, um Muster zu erkennen. Dabei wendet SIEM vordefinierte Regeln oder Algorithmen an, um das Aufspüren von potentiellen Angriffen zu unterstützen und automatische Warnungen und Meldungen auszugeben.
Live-Monitoring
SIEM bietet eine Gesamtsicht auf die ‚Angriffsfläche‘ eines Unternehmens bei gleichzeitiger Dauerüberwachung von sicherheitsrelevanten Ereignissen in Echtzeit. Dies ermöglicht es Sicherheitsteams, Cyberaktivitäten zu verfolgen, Bedrohungen zu erkennen und entsprechend zu reagieren.
Wo sind die grössten Unterschiede zwischen SIEM und XDR?
Der Hauptunterschied zwischen SIEM und XDR besteht in ihren Vorgangsweisen und Fähigkeiten. SIEM ist hauptsächlich auf die Sammlung und Analyse von Protokolldaten ausgerichtet, um Bedrohungen zu erkennen und die Einhaltung von Vorschriften zu dokumentieren. Daher eignet sich SIEM hervorragend für die Erkennung bekannter Bedrohungen und die Erstellung von Berichten über die Einhaltung von Vorschriften. Bei XDR handelt es sich dagegen um eine stärker integrierte, proaktiv wirkende Lösung, die sich hauptsächlich an Bedrohungsanalysten richtet. Ähnlich wie eine SIEM-Lösung sammelt XDR Daten verschiedener Art, nutzt aber meist hochentwickelte Analysemethoden auf Basis von KI und maschinellem Lernen, um komplexe Multi-Vektor-Angriffe zu erkennen.
Entscheidend ist, dass XDR automatisierte Mechanismen für Bedrohungsreaktion beinhaltet – ein Feature, das traditionelle SIEM-Systemen gewöhnlich fehlt. Das macht XDR dynamischer und effizienter bei der Auseinandersetzung mit komplexen, veränderlichen Cyberbedrohungen.
SIEM ist meist auf netzwerkspezifische Sicherheitsvorfälle und weniger auf Endgeräte ausgerichtet, obwohl es auch diese Telemetriedaten einbauen kann. Inzwischen sind SIEM-Systeme dabei, sich in Richtung XDR weiterzuentwickeln und sich SOAR-Fähigkeiten anzueignen.
Während SIEM eine umfassende Plattform für die Verwaltung und Korrelation von Protokolldaten zur Verfügung stellt, verfolgt XDR einen stärker integrierten, proaktiven Ansatz in Sachen Threat Detection & Response und ist auf eher fortschrittliche, komplexe Cyberbedrohungen spezialisiert.
Was ist SOAR?
Software für Security Orchestration, Automation & Response (SOAR; Sicherheits-Koordination, Automation und Reaktion) erleichtert die Automatisierung von Cybersecurity-Tätigkeiten von menschlichen Systembetreuern und Tools über eine zentrale Plattform. Obwohl SOAR ursprünglich als eigenständiges Tool konzipiert war, ist heute in allen modernen SIEM- und XDR-Plattformen ein SOAR-Modul enthalten. Es fungiert als das ‚Response‘-Element in Managed Detection & Response (MDR).
Der Vorteil von SOAR besteht darin, das es den Sicherheitsteams ermöglicht, sich auf geschäftskritische Aufgaben zu konzentrieren, während Automation sich um wiederkehrende und zeitaufwändige Aufgaben kümmert. So wird Ihr Team nicht nur effizienter, sondern reduziert auch seine ‚Warnungsermüdung‘, die sich meist einstellt, wenn unzählige Warnmeldungen aus verschiedenen Cybersecurity-Tools durchgearbeitet werden müssen.
SOAR wendet sogenannte ‚Playbooks‘ (Anweisungen für eine gewünschte Vorgehensweise) auf die gesammelten Warnungsdaten an und automatisiert auf dieser Basis die entsprechenden Reaktionsabläufe und Aufgaben. Das SOAR-Element ermöglicht Ihnen die Datenanalyse und Vorfallspriorisierung durch eine Kombination aus maschinellem Lernen und menschlicher Intervention. Das schafft eine erhebliche Erleichterung der Cyberbedrohungs-Untersuchung und Reaktion.
Wie nutzt Kudelski Securitys MDR-Services XDR, um Ihre Cybersecurity sicherzustellen?
Kudelski Security‘s MDR ONE Resolute bietet die Reichweite und Abdeckungsbreite einer umfassenden XDR-Lösung und nimmt Ihrem Team die umfangreichen und aufwändigen Cybersecurity-Aufgaben ab. Alternativ arbeiten wir bei Bedarf auch mit Ihren hauseigenen Teams zusammen, um Ihre Verteidigungs-Infrastruktur zu maximieren.
Wie auch immer die Zusammensetzung Ihrer Netzwerkumgebung aussieht – unsere durchgehend aktivierten, proaktiven MDR-Services sind voll und ganz auf den Schutz Ihres Unternehmens ausgerichtet. Mit der Kombination aus unserer eigenen FusionDetect™-Plattform und dem Expertenwissen unserer Cybersecurity-Profis werden wir:
- Bedrohungs-Telemetriedaten rund um die Uhr (24/7) überwachen und Ihnen somit die Auslagerung der aufwändigen Alltagsaufgaben rund um Cybersecurity-Management ermöglichen;
- Bedrohungen innert kürzester Zeit mit Hilfe unserer Erkennungs-Methodik ausfindig machen, die passgenau auf Ihr Netzwerk abgestimmt ist;
- Unbekannte Bedrohungen aufspüren;
- sofort auf Angriffe reagieren und auch zusammen mit Ihrem hauseigenen Team für rasche Massnahmen sorgen.
Sind Sie bereit die nächsten Stufe in Sachen Cybersecurity-Schutzmassnahmen zu entdecken? Kontaktieren Sie unsere Experten bei Kudelski Security, um mehr zu erfahren.