Les offres XDR gagnent en popularité à un rythme exponentiel. De nombreux éditeurs de cybersécurité ont adapté la signification du XDR de manière à pouvoir s’aligner sur leurs propres visions et terminologies. Cette posture ajoute à la confusion entourant la définition et les objectifs du XDR, rendant ainsi difficile d’évaluer s’il peut remplacer ou non les besoins en matière d’outils SIEM et SOAR. Cet article de blog répondra à toutes les questions concernant le SIEM, SOAR et XDR afin d’aider les professionnels de la sécurité à s’y retrouver dans un univers de solutions complexe et encombré.
Qu’est-ce que la technologie XDR ?
La technologie XDR (Extended Detection and Response) est une plateforme unifiée de détection et de réponse aux incidents de sécurité. Elle constitue une évolution naturelle des outils EDR (Endpoint Detection and Response). Certaines solutions XDR peuvent collecter et corréler automatiquement les données de plusieurs composants de sécurité propriétaires, les rendant ainsi similaires aux produits SIEM et SOAR. Néanmoins, les solutions XDR se différencient par le niveau d’intégration de leurs produits lors du déploiement et leur importante focalisation sur la détection des menaces et les cas d’usage en matière de réponse aux incidents.
La technologie XDR cible généralement les équipes de sécurité ayant des difficultés à gérer des solutions de pointe cloisonnées, comme celles basées sur des outils distincts et autonomes, tels que le SIEM, SOAR, UEBA et EDR. Il existe deux principaux types de XDR :
- Le XDR natif qui est étroitement aligné sur les autres outils de sécurité de la gamme des éditeurs.
- Le XDR Hybride qui s’appuie généralement sur des outils de sécurité supplémentaires provenant d’autres éditeurs.
Quel que soit le type de XDR concerné, il existe trois points communs :
1. La centralisation des données normalisées (généralement dans un lac de données).
2. La corrélation des données de sécurité et des alertes au niveau des incidents.
3. La capacité en matière de réponse aux incidents centralisée qui peut modifier l’état des produits de sécurité individuels dans le cadre d’une réponse aux incidents.
Fonctionnement du SIEM et du SOAR
Une solution SIEM collecte, stocke et analyse les données de log au niveau de l’ensemble de l’infrastructure IT, principalement pour détecter les activités suspectes et répondre aux menaces. Un SIEM identifie et envoie automatiquement des alertes concernant les incidents ou les anomalies critiques. Bien que les outils SIEM soient principalement utilisés à des fins de sécurité, les entreprises doivent avoir à l’esprit plusieurs autres cas d’usage, tels que la gestion automatisée de la conformité, le suivi des performances opérationnelles ou la gestion des logs. Un SIEM collecte des données à partir de n’importe quel système, notamment les pare-feu, les comptes de messagerie, les serveurs de fichier ainsi que d’autres dispositifs de capture de données tels que les imprimantes ou les systèmes d’accès par badge/carte.
Tout comme le SIEM, le SOAR (Security Orchestration Automation and Response) a été conçu pour améliorer la posture de sécurité d’une entreprise en accélérant les capacités de réponse aux incidents. Il aide les équipes de sécurité à répondre plus efficacement au nombre croissant d’alertes de sécurité en collectant des données et des alertes concernant les menaces de sécurité, et ce à partir de plusieurs sources différentes. Une solution SOAR peut automatiquement prioriser et répondre aux menaces et aux autres incidents de sécurité, réduisant ainsi les opérations manuelles à mener potentiellement par l’équipe de sécurité.
Le mécanisme du SOAR
- Collecte des données et des alertes concernant les menaces de sécurité en provenance de différentes sources.
- Possibilité d’analyser, de prioriser et de trier les incidents, à la fois automatiquement et manuellement.
- Automatisation des actions de réponse aux incidents via des playbooks.
- Orchestration et gestion de différentes technologies via des connecteurs pour permettre l’exécution de playbooks.
- Mise en place d’un support orienté machine au niveau des analystes en sécurité
Le XDR et le SIEM+SOAR : quelle est la différence ?
Il existe de nombreuses approches en matière de XDR, mais le point commun est que le XDR combine les données provenant du système endpoint, du Cloud, du réseau ou des emails en un seul et même endroit afin d’améliorer la détection, l’investigation et la réponse aux menaces. Cette approche ressemble beaucoup aux propres capacités de la plateforme Logpoint. Alors quelle est la différence, pourrait-on se demander ?
Bien que le SIEM, SOAR et XDR partagent certaines fonctionnalités, leur approche et leurs domaines d’intervention diffèrent. Une solution Modern SIEM est conçue pour prendre en charge un large éventail de besoins en matière de suivi lié, ou non, à la sécurité. En parallèle, les solutions XDR se concentrent généralement sur 2 à 3 cas d’usage de sécurité qu’elles savent très bien gérer.
Si vous avez besoin de conformité, d’analyse post-mortem, de stockage de données, d’analyse comportementale, de détection à partir d’autres sources de télémétrie ou de rapports et tableaux de bord non liés à la sécurité, une solution SIEM, SOAR et UEBA est la solution dont vous avez besoin. La bonne nouvelle ? Logpoint a unifié ces outils distincts pour simplifier les opérations de sécurité au sein d’une seule et même plateforme centrale.
Le XDR offre une couverture limitée en termes de sources de données et ne propose pas de capacité de stockage des données dans la durée comme un SIEM, car 30 jours suffisent souvent pour les principaux cas d’usage du XDR. C’est pourquoi un niveau de visibilité SIEM est essentiel pour découvrir la cause racine des attaques actuelles les plus complexes.
Étant donné que les solutions XDR ne peuvent pas fournir tous les cas d’usage souhaités en raison des capacités limitées et des sources de données prises en charge, il n’est pas recommandé aux équipes de sécurité d’utiliser un XDR sans un SIEM. Ainsi, l’ajout d’un XDR qui chapeauterait un SIEM peut être bénéfique pour augmenter les capacités TDIR dans certains cas d’usage.
Comparer le XDR avec un SIEM et un SOAR n’est pas judicieux. Nous pensons que le XDR ne remplace pas le SIEM et le SOAR mais remplace plutôt l’EDR dans un SOC. Aucun XDR ne répond à l’ensemble des besoins d’un SOC mature, car ce dernier ne peut pas remplacer les fonctionnalités SIEM et SOAR concernant tous les cas d’usage, car il n’utilise pas une approche holistique pour prendre en charge efficacement les opérations de sécurité. Lors de l’évaluation des outils SIEM et SOAR, le XDR doit être abordé comme un produit complémentaire optionnel.