一、什么是 SIEM?
SIEM系统收集、存储和报告日志数据,用于事件响应、取证和合规性。虽然首字母缩略词 SIEM 是 Gartner 在 2005 年首次创造的,但 SIEM 的功能基础已经存在了更长时间。早在 1990 年代,有远见的组织就认识到他们需要将不同的安全日志整合到一个系统中,以促进分析和满足合规性要求。
SIEM 工具聚合日志数据,为 SecOps 团队提供统一的遥测资源。他们还保留用于取证和合规目的的数据,跨系统查询数据以进行威胁检测和调查,并提供仪表板和报告以帮助 SecOps 员工按需监控环境并遵守审计要求。
二、什么是 SOAR?
安全自动化是自动处理与安全操作相关的任务,包括管理职责和事件检测与响应。安全自动化使安全团队能够随着工作负载的增长而扩展。安全编排是一种连接安全工具和集成不同安全系统的方法,是简化安全流程和支持自动化的连接层。如今,66% 的分析师认为他们一半的任务可以自动化。出于这个原因,一些组织转向 SOAR 平台。
SOAR 通常作为 SIEM 系统的扩展添加,可以提供剧本来自动化经常使用的分析师工作流,并可以帮助实施允许不同安全工具进行通信的“安全中间件”。SOAR 工具通过丰富数据、改进警报分类和自动执行重复性任务来改进 SOC 流程。
三、什么是扩展检测和响应 (XDR)?
安全行业正在经历向称为 XDR 的新型解决方案的转变。因为 XDR 聚合了整个企业的安全数据,所以有些人可能会认为它只是 SIEM 的进化版本。但事实是,XDR 远远超出了传统 SIEM 的特征,它通过更有效的安全性、更快的工作流、更好的事件管理和更高的可见性提供有形价值。
XDR 中的“X”代表保护在整个 IT 生态系统中的集成和扩展,从而比以往任何时候都更进一步地“扩展”保护。XDR 的前身是端点检测和响应 (EDR),专注于监控和保护组织免受端点威胁。随着数据越过边界,XDR 有必要将保护范围扩展到网络、服务器、云以及端点。XDR 一词于 2018 年首次引入,指的是新一代安全解决方案,分析公司 Gartner 将其描述为“威胁检测和事件响应工具,将多种安全产品原生集成到一个有凝聚力的安全操作系统中。”
XDR 提供高级检测、快速响应和直观的自动化,可满足大多数客户的需求,而无需 SIEM 不可预测的定价或第三方 SOAR 解决方案的额外成本。通过将多个安全工具整合到一个威胁检测和响应平台中,XDR 减少了管理多个独立解决方案所带来的时间、精力和增加的复杂性。
四、SOAR 对比 SIEM 对比 XDR
SOAR 解决方案使核心 SOC 流程自动化,以创建需要更少资源和时间的更高效响应。获得的效率帮助组织减少平均响应时间 (MTTR)。快速响应可减少驻留时间并快速遏制入侵者,从而限制攻击的影响。SOAR 是对 SIEM 非常有价值的补充。
相比之下,XDR 提供高级检测、快速响应和直观的自动化,可以满足大多数客户的需求,而无需增加 SOAR 解决方案的成本。XDR 自动关联、确定优先级和验证警报,使安全团队能够高效地处理最紧迫的威胁。它还提供内置的安全调查工作流程和自动化剧本,有助于简化调查并加快响应行动。XDR 是一种更简单、更直观的解决方案,可减轻手动工作的负担并节省分析师的宝贵时间。
SIEM 非常适合收集和分析大量日志事件和其他数据。对 SIEM 进行了大量投资的组织可能仍会选择将其用于合规性和审计目的——尤其是在金融和医疗保健等面临严格监管审查的行业。但是 SIEM 技术是在 2000 年代中期首次引入的,当时威胁形势看起来非常不同。虽然 SIEM 曾经就足够了,但它们在预防、检测和响应不断增长的攻击面的威胁方面不再那么有效。包括不可预测的成本、过多的噪音以及有限的检测和响应能力。运行 SIEM 需要高度专业化的工作人员,不仅要构建 SIEM,还要生成检测分析。
XDR 充当一个互连系统,威胁情报可从环境的各个角度获益,而不会引入共担风险或增加成本。XDR 可以为针对性攻击提供更有效的检测和响应,并包括对行为分析、事件响应、威胁情报和自动化的原生支持。