XDR是可拓展(或跨平台)威胁检测与响应。其目的是在安全堆栈(EDR、SIEM、云等)上集成不同的工具,以提供统一全面的威胁视图,以便组织能够更快地发现威胁、进行调查,并做出反应以保护自己。
什么是开放式XDR
XDR是可拓展(或跨平台)威胁检测与响应。其目的是在安全堆栈(EDR、SIEM、云等)上集成不同的工具,以提供统一全面的威胁视图,以便组织能够更快地发现威胁、进行调查,并做出反应以保护自己。
开放式XDR(也称为混合 XDR)不同于原生或供应商特定的 XDR 平台。开放式XDR 与供应商无关,可提供与来自多个供应商的同类最佳工具的深度集成。开放式XDR 将高级分析和经过现场验证的内容与现场部署的技术相结合,以降低复杂性、提高可见性并改进风险管理。
开放式 XDR 与原生 XDR
XDR 主要分为两种类型,不同类型的 XDR 平台都为其不同的用例提供了不同的优势。
|
名称 |
描述 |
|
开放式XDR |
主要处理第三方集成 |
|
原生XDR |
提供一体化平台 |
开放式XDR
开放式 XDR 适用于在 IT 和安全环境中部署了多个供应商的组织。更复杂的安全程序,通常是那些可能拥有更多资源的大型组织的安全程序,可能会在多个供应商上部署同类的最佳安全工具。开放式 XDR 表明他们不需要拆除和更换正在使用的前端传感器,以便为原生XDR的围墙花园方法腾出空间。
就其性质而言,开放式 XDR 的创建是为了将各种其他技术有效地集成到一致的搜索模式中。组织可以通过在安全堆栈之上分层放置开放式XDR以集中威胁检测、响应和调查要求,合理化并增强其当前工具集,从而提高其价值与输出。安全团队还可以添加新工具、混合和匹配来自供应商的元素,同时从他们的开放式 XDR 中受益。
原生XDR
对于 IT 安全性和基础架构更加同质化的组织,原生 XDR 产品可能就足够了。应该通过 POC 验证的假设是,单个供应商可以更有效地集成该供应商生态系统内的前端和后端功能。
拥有由单一供应商发布的安全产品的组织可能会发现, 其供应商的 XDR 是一种自然选择。但是,产品深度和覆盖范围可能存在差距——尤其是在该供应商不能提供关键检测功能的情况下。单一的本地XDR供应商无法为所有攻击媒介提供全面的安全覆盖,同时,在其覆盖的领域里可能没有深度功能提供进一步支持。IBM 和 Ponemon 2021 违规报告指出,违规的解决通常涉及来自 19 个工具的数据,而要从从单一供应商处找到 19 种合适的工具并非易事。
更重要的是,使用这种方法,客户可能会遇到供应商锁定,这意味着他们可能需要放弃其他供应商制造的首选工具,而不得不与他们的 XDR 供应商制造的工具达成和解。比如,组织必须拆除并替换其EDR才能采用原生 XDR。
开放式XDR 与 SIEM:解决方案比较
安全信息和事件管理 (SIEM) 系统是XDR平台的前身。与XDR一样,SIEM收集跨组织和不同工具的数据,然后组织日志和事件用于威胁检测、调查和响应 (TDIR)。在某些方面,SIEM的范围比 XDR 更广,包括长期数据存储和合规性报告等功能。
在许多安全运营中心 (SOC) 中,XDR不太可能完全取代 SIEM。这两个系统可能会共存,它们有各自不同的功能。下面我们来看一下SIEM和开放式XDR的主要区别。
|
|
SIEM |
开放式XDR |
|
覆盖领域 |
多域覆盖,包括威胁检测、调查和响应(TDIR);报告;合规性和;集中存储 |
单域覆盖 (TDIR) |
|
设计方法 |
专为定制和“紧急”情况而设计 |
创建以高效的 TDIR 为中心 |
|
数据位置 |
一般假定数据必须集中在 SIEM 中 |
通常假设数据可能保留在任何地方和/或不必长期保留 |
|
交付模式 |
可以是云交付、本地交付或两者兼而有之 |
云交付 |
|
贮存 |
提供无限可扩展的存储 |
不一定提供长期存储 |
|
检测方法 |
通常以基于相关性的分析为中心 |
通常提供基于机器学习的高级分析 |
|
自动化方法 |
一般提供自动化;高度灵活的编排;TDIR 和非 TDIR 用例的剧本 |
一般提供自动化;预先打包的、特定于用例的 TDIR,有特定的编排;剧本 |
|
市场地位 |
通常替换或取代CLM、传统SIEM和/或数据湖 |
通常会增强CLM、留下SIEM和/或数据湖 |
开放式XDR 与 SIEM 的技术差异
数据规范化与分析
在XDR中,数据被强制进入规范化状态,这是在数据存储到数据湖之前执行的。SIEM通常以原始形式保存来自原始日志或事件源的数据。
对于XDR,警报的关联和检测由 AI 自动驱动,而 SIEM 使用人工编写的关联规则来创建感兴趣的事件。这通常需要专业知识或经验,而并非每位员工都具备这些知识或经验。
XDR的预处理阶段解决了构建和维持有意义的 AI 所需的数据质量和标准化问题。在安全方面,数据必须集中、丰富并且规范化,以最大限度地降低数据复杂性。如果在平台的每次部署中都以不同的方式对数据进行建模,那么就不可能维护 AI 模型。
XDR要求在每次部署之前以相同的方式对数据进行建模,然后才能进入数据湖;数据仅在其丰富或标准化状态下可用。
SIEM要么将此作为可选功能提供,要么不提供此功能;在可选方案中,丰富和规范化是作为原始数据的后处理步骤进行的,原始数据已经在存储中。因此,SIEM架构难以产生与XDR同等保真度的 AI 引擎。SIEM可以利用 AI,但是,扩展将更具挑战性。
警报分类
在 XDR 中,事件是从相关警报中创建的,从这些警报中协调同一平台上的响应。相比之下,SIEM 将警报发送到不同的 SOAR 平台,然后执行下游响应和关联。
开放式XDR 作为平台的一部分执行响应和关联。更高阶的构造是从单个安全事件构建的,开放式XDR平台对整个事件做出响应。
相比之下,SIEM将警报传递给 SOAR,SOAR 必须将警报与一组有限的规则关联起来,而不需要对环境中发生的一切进行更深入的分析。开放式XDR会像SOAR和SIEM 一样创建响应,但是,响应保真度显着提高,因为XDR使用 AI 驱动的关联和检测,所有数据都可以访问。
统一工具
在XDR模型中,安全操作所需的工具被统一到一个平台中,包括 UEBA、数据湖、SOAR、TIP、EDR 或 NDR。SIEM只包含一个数据湖,这意味着SIEM用户必须自己集成各种复杂的工具。许多SIEM解决方案提供深度定制和插件的扩展列表,但配置和构建系统的责任由用户或供应商承担。
这种差异的主要影响运行安全平台所需的时间、资金和资源。SIEM的运营成本很高,因为它们是开放式技术。开放式XDR平台是规范性技术,因此组织可以更有效地使用它们。
开放式 XDR 与 SIEM:哪个适合您的组织?
如果功能覆盖仅关注堆栈上的TDIR,那么解决该功能的工具(开放式XDR)可能是更好的选择。与SIEM等通用工具相比,价值实现时间会更短。
但是,如果功能覆盖范围超出TDIR,那么SIEM可能会更好。XDR可能无法满足这些附加要求——例如,如果它们涉及集中存储或合规性。
组织可能希望从对TDIR的特定要求开始,然后寻求将其范围扩展到安全操作的不同部分,包括日志或合规集中化。这些组织必须找到提供开放式XDR的供应商,该供应商可以通过简单的升级路径升级到具有全功能的SIEM,例如通过添加合规性包、存储或非 TDIR 仪表板功能等。
**参考来源:exabeam,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
往期推荐
|
|||
|
|||
|
每个企业都需要安全运营
云纷科技
Comments are closed