XDR-Angebote gewinnen an Popularität. Viele Anbieter von Cybersecurity-Lösungen haben die Bedeutung von XDR jedoch so angepasst, dass sie mit ihren eigenen Sichtweisen und Begriffen übereinstimmen. Diese Haltung trägt zur Verwirrung um die Definition und den Zweck von XDR bei und erschwert die Beurteilung, ob XDR-Lösungen SIEM- und SOAR-Tools ersetzen können oder nicht. In diesem Blog-Beitrag beantworten wir alle Fragen zu SIEM, SOAR und XDR, um Sicherheitsexperten dabei zu unterstützen, durch diese komplexe und überlaufene Lösungslandschaft zu navigieren.
Was ist XDR?
Extended Detection and Response (XDR) ist eine einheitliche Plattform für die Erkennung von sicherheitsrelevanten Vorfällen und die Reaktion darauf. Einige XDR-Lösungen sind logische Weiterentwicklungen von EDR-Tools (EDR: Endpoint Detection and Response) und können automatisch Daten von mehreren proprietären Sicherheitskomponenten sammeln und korrelieren. Darin ähneln sie SIEM- und SOAR-Produkten. Dennoch unterscheiden sich XDR-Lösungen von SIEM und SOAR durch den Grad der Integration der Produkte sowie durch ihren Fokus auf die Erkennung von Bedrohungen und die Reaktion auf sicherheitsrelevante Vorfälle (Incident Response).
XDR richtet sich in der Regel an Sicherheitsteams, die Schwierigkeiten mit der Verwaltung von isolierten Best-of-Breed-Lösungen haben, beispielweise Teams mit separaten, eigenständigen SIEM-, SOAR-, UEBA– und EDR-Tools. Es gibt zwei wesentliche XDR-Kategorien:
- Natives XDR ist eng auf die anderen Sicherheitstools im Portfolio eines Anbieters abgestimmt.
- Hybrides XDR stützt sich in der Regel auf zusätzliche Sicherheitstools anderer Anbieter.
Unabhängig von der Kategorie gibt es drei gemeinsame Elemente:
- Zentralisierung von normalisierten Daten (typischerweise in einem zentralen Daten-Repository oder Data Lake)
- Korrelation von Sicherheitsinformationen und Warnungen zu sicherheitsrelevanten Vorfällen
- Zentralisierte Incident Response-Funktionen, die den Status einzelner Sicherheitsprodukte als Teil der Reaktion auf sicherheitsrelevante Vorfälle ändern können
Was sind SIEM und SOAR?
Eine SIEM-Lösung sammelt, speichert und analysiert Logdaten aus der gesamten IT-Infrastruktur, hauptsächlich um verdächtige Aktivitäten zu erkennen und auf Bedrohungen zu reagieren. Das SIEM-Tool identifiziert kritische Vorfälle oder Anomalien automatisch und sendet entsprechende Warnungen. Obwohl SIEM-Lösungen in erster Linie für Sicherheitszwecke eingesetzt werden, sollten Unternehmen auch andere Anwendungsfälle im Auge behalten, beispielsweise das automatisierte Compliance-Management, die Überwachung der operativen Leistung oder das Logdaten-Management. Eine SIEM-Lösung sammelt Daten von jedem beliebigen System, einschließlich Firewalls, E-Mail-Konten, Datei-Servern und anderen Geräten, die Daten erfassen, wie beispielsweise Druckern oder Zutrittssystemen mit Magnetstreifen-Karten.
Genau wie SIEM wurde auch Security Orchestration Automation and Response (SOAR) entwickelt, um das Sicherheitsniveau eines Unternehmens zu erhöhen, indem es die Reaktion auf sicherheitsrelevante Vorfälle beschleunigt. SOAR sammelt Daten zu Sicherheitsbedrohungen und Warnmeldungen aus verschiedenen Quellen und unterstützt Sicherheitsteams somit dabei, effizienter auf die steigende Zahl an Sicherheitswarnungen zu reagieren. Eine SOAR-Lösung kann Sicherheitsbedrohungen und Incidents automatisch priorisieren und darauf reagieren. So lassen sich die manuellen Tätigkeiten des Sicherheitsteams reduzieren.
Die Steuerung mit SOAR
- Sammeln Sie Daten zu Sicherheitsbedrohungen und Warnungen aus verschiedenen Quellen.
- Ermöglichen Sie die Analyse, die Priorisierung sowie die Triage von sicherheitsrelevanten Vorfällen, sowohl automatisch als auch manuell.
- Automatisieren Sie die Maßnahmen zur Reaktion auf sicherheitsrelevante Vorfälle via Playbooks.
- Orchestrieren und verwalten Sie verschiedene Technologien über Konnektoren, um die Ausführung von Playbooks zu ermöglichen.
- Nutzen Sie maschinengestützte Unterstützung für Ihre Sicherheitsanalysten.
XDR und SIEM+SOAR – worin liegt der Unterschied?
Es gibt zahlreiche Ansätze für XDR. Die Ähnlichkeit besteht darin, dass XDR-Produkte Daten von Endpunkten, aus der Cloud, dem Netzwerk oder der E-Mail-Kommunikation an zentraler Stelle zusammenführen, um die Erkennung von Bedrohungen, die Untersuchung sowie die Reaktion darauf zu verbessern. Dies scheint dem, was die Logpoint-Plattform leisten kann, sehr ähnlich zu sein. Somit stellt sich die Frage, worin die Unterschiede liegen.
Obwohl Lösungen für SIEM, SOAR und XDR einige Funktionen gemeinsam haben, unterscheiden sie sich in ihrem Ansatz und in ihren Schwerpunkten.
Eine moderne SIEM-Lösung ist so konzipiert, dass sie eine breite Palette an Anforderungen abdecken kann, die die Überwachung von sicherheitsrelevanten, aber auch von weiteren Vorgängen einschließt. XDR-Produkte hingegen konzentrieren sich in der Regel auf zwei bis drei Use Cases im Bereich Sicherheit, die sie auch sehr gut handhaben können.
Wenn Sie Compliance, Forensik, Datenspeicherung, Verhaltensanalyse, Erkennung aus anderen Telemetrie-Quellen oder Reports und Dashboards, die nicht unmittelbar mit der IT-Sicherheit im Zusammenhang stehen, benötigen, ist eine SIEM-, SOAR- und UEBA-Lösung genau das Richtige für Sie. Die gute Nachricht? Logpoint vereint diese separaten Tools in einer zentralen Plattform und vereinfacht so die Sicherheitsprozesse.
XDR deckt nur eine begrenzte Anzahl von Datenquellen ab und bietet keine längerfristige Datenspeicherung wie eine SIEM-Lösung, da eine 30-tägige Speicherung für die wichtigsten XDR-Anwendungsfälle oft ausreicht. Eine SIEM-Lösung bietet aufgrund der zahlreichen Datenquellen sowie der langfristigen Datenspeicherung der ein höheres Niveau an Transparenz und kann somit auch die Ursachen der komplexesten Angriffe aufdecken.
Da XDR-Lösungen aufgrund des begrenzten Funktionsumfangs und der geringeren Zahl an unterstützten Datenquellen nicht alle gewünschten Anwendungsfälle abdecken können, ist es nicht ratsam, XDR ohne eine SIEM-Lösung einzusetzen. Es kann jedoch von Vorteil sein, XDR zusätzlich zu einer SIEM-Lösung zu nutzen, um die TDIR-Funktionen (TDIR: Threat Detection, Investigation and Response) in einigen Anwendungsfällen zu erweitern.
Der Vergleich von XDR mit SIEM und SOAR ist somit falsch ausgerichtet und unzutreffend. Wir sind davon überzeugt, dass XDR kein Ersatz für SIEM und SOAR ist, sondern lediglich EDR in einem SOC ersetzt. Keine XDR-Lösung erfüllt die gesamten Anforderungen eines ausgereiften SOCs, da XDR die SIEM- und SOAR-Funktionalitäten nicht für alle Anwendungsfälle ersetzen kann und ein ganzheitlicher Ansatz zur effizienten Unterstützung der Sicherheitsprozesse fehlt. Bei der Betrachtung von SIEM- und SOAR-Tools sollte XDR als optionales, ergänzendes Produkt behandelt werden.