Manchmal können sich die Funktionalitäten/Leistungsmerkmale verschiedener Tools für Cybersecurity überschneiden – das kann für Entscheidungsträger verwirrend sein kann. In diesem kompakten Blog-Beitrag möchten wir versuchen, die Unterschiede zwischen einer SIEM-Lösung (SIEM: Security Information and Event Management) und einem EDR-Tool (EDR: Endpoint Detection and Response) zu beleuchten.
Was ist eine EDR-Lösung?
Traditionell bietet grundlegende Cybersecurity-Software Schutz mittels signaturbasierter Tools oder einer SIEM-Lösung. Eine EDR-Lösung ist eine ergänzende Software für SIEM, die zur Erweiterung der Erkennungs- und Reaktionskapazitäten eingesetzt wird.
Ein „Endpunkt“ ist jedes Gerät, das physisch einen Endpunkt in einem Netzwerk darstellt. Dabei kann es sich um Geräte vor Ort oder um Remote-Geräte handeln. Da diese den Zugang zu den Assets und den Anwendungen eines Unternehmens ermöglichen, ist die Sicherheit der Endpunkte von hoher Bedeutung.
Ein EDR-Tool stellt fest, ob Malware auf einem Endgerät installiert wurde, und findet Wege, um auf diese Art der Bedrohung zu reagieren. Einmal installiert, sammeln EDR-Lösungen mithilfe von Agents, die auf den Endgeräten installiert sind, Daten aus vielen verschiedenen Datenquellen direkt auf dem Endgerät und speichern diese in einer zentralen Datenbank.
Diese Daten stammen in der Regel aus den folgenden Quellen:
- ARP
- DNS
- Sockets
- Registry
- Speicherauszüge
- Systemaufrufe
- IP-Adressen
- Hardware-Typen
Sobald eine EDR-Lösung einen Hacking-Versuch oder eine bösartige Infiltration entdeckt, stellt sie unmittelbar eine Liste mit empfohlenen Reaktionsmaßnahmen bereit.
Alle EDR-Tools führen Datenanalysen durch, bieten Dashboards oder liefern Berichte. EDR-Lösungen unterstützen derzeit Windows-Betriebssysteme und sind dabei, auch andere Plattformen wie Linux, Unix, iOS oder Android zu unterstützen.
Was ist eine SIEM-Lösung?
Ein SIEM-lösnung (security information and event management solution) ist ein zentrales Risikomanagement-Tool für die Erkennung, Untersuchung und Reaktion auf Bedrohungen.
Eine SIEM-Lösung stellt einen einzigen, zentralen Ort für die Speicherung und Analyse von Daten bereit, die aus vielen verschiedenen Logdaten-Quellen stammen – und sie ist dabei nicht auf Endpunkte beschränkt. Eine SIEM-Lösung bietet die Möglichkeit, unterschiedliche „Informationssilos“ miteinander zu verbinden. Sie sammelt und analysiert Daten nahezu in Echtzeit, erkennt Sicherheitsverletzungen, speichert Informationen und erstellt Berichte, die leicht verständliche, produktunabhängige Einblicke bieten, um angemessene Reaktionsmaßnahmen zu ermöglichen.
Da alle Unternehmen und Organisationen auf dem Weg sind, ihre digitale Transformation abzuschließen, sind Daten – heute mehr denn je – ein zentraler Bestandteil aller Geschäftsmodelle. Daten und die Möglichkeit, diese zu visualisieren, sind grundsätzlich sehr wertvoll. Dieser Wert erhöht sich erheblich, wenn sie in einen Kontext gesetzt werden können. Wenn sie mit Informationen über Benutzer, Assets, Bedrohungen und Schwachstellen angereichert werden, werden diese Daten wertvoll und entscheidungsrelevant, und eine SIEM-Lösung, die dies unterstützt, erhöht den ROI.
Mit einer SIEM-Lösung ist es möglich, viele verschiedene Anwendungsfälle zu verstehen und eine Verbindung zu vielen Systemen herzustellen, die auf verschiedene Logdaten-Quellen zugreifen, wie beispielsweise Firewalls, Server, IPS, Proxies, etc. Da eine SIEM-Lösung eine Vielzahl verschiedener Plattformen unterstützt, kann sie für erweiterte Korrelationen, Log-Management und Forensik genutzt werden.
Darüber hinaus sind mit LogPoint SIEM den Anwendungsfällen keine Grenzen gesetzt. LogPoint ist in der Lage, verschiedene Bereiche wie IT-Operations, IT-Security, Compliance and Business Analytics zu unterstützen.
LogPoint SIEM leistet viel mehr als eine herkömmliche SIEM-Software.
Unsere SIEM-Lösung sammelt, untersucht und protokolliert effizient alle relevanten Event-Daten, die von jedem Gerät oder jeder Anwendung in Ihrer IT-Infrastruktur generiert werden. So erhalten Sie den erforderlichen Einblick, um das Ausmaß einer Bedrohung erkennen und fundierte Entscheidungen treffen zu können.
Was sind die Unterschiede zwischen SIEM und EDR?
Eine SIEM-Lösung kann Daten aus vielen verschiedenen Datenquellen sammeln und ermöglicht erweiterte Korrelationen, Log-Management sowie Forensik. Diese Daten können von Anwendungen, Datenbanken, Infrastrukturen, sensiblen Assets, Produktionssystemen oder Sicherheitslösungen stammen. Es gibt keine Beschränkungen hinsichtlich der unterstützten Plattformen oder der Art des Anwendungsfalls.
Ein EDR-Tool hilft bei der Untersuchung, Aufdeckung, Priorisierung und Behebung komplexer Angriffe, insbesondere und ausschließlich unter Verwendung von Daten der Endpunkte.
Empfehlungen
Um eine mehrstufige, effektive Sicherheitsinfrastruktur umzusetzen, ist es von Vorteil, diese beiden Tools zu kombinieren: Nutzen Sie die Leistungsfähigkeit der SIEM-Lösung von LogPoint, um Daten aus vielen verschiedenen Logdaten-Quellen zu sammeln und ein EDR-Tool für den individuellen Netzwerkfokus.
Da ein EDR-Tool nur mit Endpunktdaten arbeitet, ist es wichtig, SIEM als Grundlage und ein EDR als ergänzende Komponente zu betrachten. Strukturell nutzt eine SIEM-Lösung dann das EDR-Tool als zusätzliche Logdaten-Quelle, die wertvolle Informationen liefert.