SOC, SIEM, MDR, EDR... wo sind die Unterschiede?
Akronyme wie SOC, SIEM, MDR oder EDR beherrschen den Jargon der Vorfalls-Detection und -Response. Hier lesen Sie, was sie bedeuten.
SOC und SIEM: Was sind die Unterschiede?
Wir erhalten häufig Anfragen von Kunden, die angeben, dass sie nach einem "Managed SOC / SIEM" suchen, als ob die beiden Begriffe von Natur aus austauschbar wären. Und doch sind sie es nicht. Was bedeuten sie also?
SOC steht für Security Operations Center. Ein SOC konzentriert sich in der Regel nicht nur auf den Sicherheitsbetrieb (Security Operations, z. B. die Verwaltung von Sicherheitsgeräten), sondern auch auf das Management von Bedrohungen und Schwachstellen, die proaktive Überwachung und die Qualifizierung von Vorfällen. Aber der Begriff kann für viele Menschen viele Bedeutungen haben. Eines ist jedoch klar: Ein SOC ist eine Geschäftsfunktion, die eine Kombination aus Menschen, Prozessen und Technologie umfasst (unabhängig davon, ob Sie diese Funktion mit internen Mitarbeitern, Verfahren und Tools bereitstellen oder sie auslagern).
SIEM hingegen steht für "Security Information and Event Management". Dies ermöglicht nicht nur die standardisierte Nutzung von Protokolldaten aus mehreren Sicherheitstools, sondern auch eine erweiterte Überwachung unter Verwendung von benutzerdefinierten Protokollquellen wie maßgeschneiderten Anwendungen oder Nischenprodukten, die vom breiten Markt nicht genutzt werden. Ein SIEM ist eine Technologie für den Sicherheitsbetrieb. Aber es ist genau das - eine Technologie - es läuft nicht von selbst.
Warum werden beide also so oft in einem Atemzug genannt? Wir glauben, dass es sich hierbei um ein altes Konzept handelt, das sich langsam zu ändern beginnt. Als das Konzept der Detection und Response entstand (aus der Erkenntnis heraus, dass eine 100-prozentige Vorbeugung nicht möglich ist), war ein SIEM praktisch die einzige Möglichkeit, eine solche Funktion zu erfüllen, und so haben SOC-Teams das SIEM als Tool ihrer Wahl übernommen. Im Laufe der Zeit gibt es jedoch eine Vielzahl von Optionen. Sogar das SOC selbst beginnt, sich in einige Unterfunktionen aufzuspalten.
Orange Cyberdefense unterteilt dies in drei definitive Funktionen:
- SOC - die Betriebszentren, die für das Security Device Management und die Überwachung der Betriebsplattformen zuständig sind, Änderungen implementieren und Unterstützung und Fehlerbehebung bieten.
- CyberSOC - die Betriebszentren, die eine proaktive Überwachung von Sicherheitsvorfällen, die Analyse und Triage von Alarmdaten aus verschiedenen Sicherheitstechnologien und eine erste Reaktion auf Vorfälle bieten (z. B. erste Vorfallsmeldung, Isolierung infizierter Computer)
- CERT - das ist das Computer Emergency Response Team. Dieses Team operiert sowohl von zentralen Betriebszentren aus (wie auf der Karte unten dargestellt), hat aber auch mobile Mitglieder, die z. B. vor Ort bei Kunden/Rechenzentren auf Vorfälle reagieren. Das CERT hat einige unterschiedliche Funktionen:
- Bereitstellung von Informationen über Bedrohungen und Schwachstellen für die Kunden und auch für die anderen oben genannten Teams
- Bereitstellung einer CSIRT-Funktion (Computer Security Incident Response Team)
- Externe Überwachung des digitalen Risikos der Kunden unter Verwendung verschiedener Open-Source-Informationen sowie von Informationen aus Untergrundforen/geschlossenen Websites (z. B. das so genannte "Dark Web" oder, anders ausgedrückt, Websites, die über Standard-Internetbrowser nicht zugänglich sind).
Jetzt kennen wir die Teams, aber was ist mit den Tools? Wir haben oben über das SIEM gesprochen, aber es ist nicht mehr die einzige Option für eine effektive Detection und Response. In der Tat beginnen viele Unternehmen jetzt mit den Grundlagen. Dazu gehört auch EDR.
EDR: Endpoint Detection and Response
Die EDR-Software überwacht verschiedene Endpunkte (Computer, Server, Tablets, Mobiltelefone usw.) und nicht das Systemnetzwerk.
Zu diesem Zweck analysiert die EDR-Software die Nutzung der überwachten Endpoints, insbesondere durch Verhaltensanalyse. Dies ermöglicht die Erkennung von Verhaltensweisen, die nach einer Lernphase von einer Norm abweichen, oder von Verhaltensweisen, die mit dem üblichen Verhalten von Angreifern übereinstimmen. EDR-Software ist auch in der Lage, die Ausnutzung von Sicherheitslücken zu überwachen.
Der Vorteil von EDR-Lösungen besteht darin, dass sie es Unternehmen ermöglichen, sich durch die Analyse verdächtiger Verhaltensweisen sowohl vor bekannten (z. B. einem Virus) als auch vor unbekannten Angriffen zu schützen.
Als Ergänzung zu EDR bietet NDR eine grundlegende Detection- und Respronse-Funktionalität.
NDR: Network Detection and Response
NDR-Software bietet CyberSOC-Teams einen erweiterten Einblick in das gesamte Netzwerk, um das Verhalten potenziell verborgener Angreifer zu erkennen, die auf physische, virtuelle und Cloud-Infrastrukturen abzielen. Sie ergänzt die EDR- und SIEM-Tools, und in jüngster Zeit haben diese Technologien damit begonnen, ausgewählte Protokollanalysen mit künstlicher Intelligenz und maschinellem Lernen einzuführen, um die Analyse des Netzwerkverkehrs zu ergänzen.
Der NDR-Ansatz bietet einen Überblick und konzentriert sich auf die Interaktionen zwischen den verschiedenen Knotenpunkten des Netzwerks. Und da sich das Netzwerk nun über die traditionellen Rechenzentren hinaus in die Cloud und in die Welt der Software-as-a-Service erstreckt, ist diese Art von Transparenz von entscheidender Bedeutung. EDR kann nicht überall präsent sein.
XDR: Extended Detection and Response
XDR-Software versucht, diese Ansätze zusammenzuführen, um Sicherheitsteams bei der Lösung von Problemen mit der Sichtbarkeit von Bedrohungen zu helfen, indem Sicherheitsdaten aus verschiedenen Quellen zentralisiert, standardisiert und korreliert werden. Dieser Ansatz erhöht die Erkennungsmöglichkeiten im Vergleich zu eigenständigen Endpoint Detection and Response Tools (EDR). So bietet XDR beispielsweise vollständige Transparenz, indem es Netzwerkdaten zur Überwachung anfälliger (nicht verwalteter) Endpunkte nutzt, die von EDR-Tools nicht erkannt werden können.
XDR analysiert Daten aus verschiedenen Quellen (E-Mail-Aktivitäten, Endpunkte, Server, Netzwerke, Cloud-Streams, Identitätstechnologien wie AzureAD oder Single Sign-On...), um Warnungen zu validieren und so Fehlalarme und das Gesamtvolumen von Warnungen zu reduzieren. Durch das Zusammenführen von Indikatoren aus verschiedenen Quellen kann XDR die Effizienz von Sicherheitsteams verbessern.
XDR verfügt jedoch noch nicht über die Tiefe der Anpassung, die mit SIEM-Tools erreicht werden kann.
Zusammenfassung:
- EDR: bietet ein hohes Maß an Detailgenauigkeit, deckt aber keine nicht verwalteten Endpunkte oder Endpunkte ab, die keinen Agenten ausführen können (z. B. Drucker, serverlose Cloud-Umgebungen).
- NDR: bietet einen sehr umfassenden Überblick über das hybride Cloud-Netzwerk und verfolgt die Nutzung von Identitäten im gesamten Unternehmen, überwacht aber nicht sehr detailliert, was auf den Endpunkten geschieht.
- XDR: durchbricht die Grenzen der Detection-Perimeter, bringt Automatisierung zur Beschleunigung von Untersuchungen und versucht, die Detection anspruchsvoller Angriffe zu erleichtern.
- SIEM: Die Einrichtung dauert länger und die Wartung ist aufwändiger als bei den oben genannten Ansätzen, aber es bietet bei Bedarf ein weitaus höheres Maß an Anpassungsmöglichkeiten und leicht zugängliche Rohdaten für die Protokollierung.
Wir haben noch ein letztes Akronym für Sie.
MDR: Managed Detection and Response
Das Akronym MDR steht für Managed Detection and Response. MDR bringt die SOC-Funktion und die verschiedenen oben genannten Lösungen zusammen, um eine durchgängige Behandlung von Cyber-Bedrohungen zu ermöglichen. MDR liefert ein Ergebnis.
Wenn Ihnen also der Gedanke "Ich brauche ein Managed SIEM/SOC" durch den Kopf geht, sollten Sie wirklich MDR in Betracht ziehen!
Welches sind die besten Detection- und Response-Lösungen für Ihr Unternehmen? Führen Sie unseren Managed Detection and Response Buyer's Guide durch, um es herauszufinden!
MDR Buyers Guide