SOC, SIEM, XDR, MDR, EDR… quelles différences ?

Le SOC, pour Security Operation Center, est, comme son nom l’indique, le centre des opérations de sécurité. Plus précisément, un SOC se concentre sur la surveillance des menaces et la qualification des incidents.

Pour y parvenir, les analystes utilisent un outil de détection, qui peut être un SIEM, un EDR, un XDR ou tout autre solution capable de générer des alertes de sécurité.

Le SIEM (Security Information Management System) est un outil historiquement utilisé par les SOC pour surveiller les infrastructures des entreprises et leurs systèmes d’information dans leur ensemble. Les analystes y configurent un ensemble de règles de corrélation selon la politique de sécurité préconisée afin de détecter d’éventuelles menaces.

Techniquement le SIEM est un outil qui collecte des données (les logs), les normalise, les agrège puis les corrèle pour générer des alertes de sécurité ou créer des tableaux de bord de conformité par exemple. Aujourd’hui certains XDR ont les mêmes capacités techniques qu’un SIEM traditionnel.

Les logiciels EDR surveillent les terminaux (ordinateurs, serveurs, tablettes, téléphones…) et non le réseau du système d’information.

Pour ce faire, ces logiciels analysent les usages faits des terminaux surveillés, notamment via l’analyse comportementale. Celle-ci permet de reconnaître des comportements déviant d’une norme, après une phase d’apprentissage. Les logiciels d’EDR sont également capables de surveiller l’exploitation de failles de sécurité.

L’avantage d’une solution EDR est de permettre à une entreprise de se protéger à la fois contre les attaques connues (ex : un virus) mais aussi inconnues, en analysant des comportements suspects.

Focus : Qu’est-ce qu’un Micro-SOC EDR ?

Un Micro-SOC EDR est une équipe du SOC qui se focalise sur un périmètre précis de détection. Pour cela, le Micro-SOC utilise l’EDR, associé à un outil d’orchestration et d’automatisation, comme un outil de détection et de remédiation.

Le Micro-SOC est une nouvelle génération de service de protection, remédiation et de détection proactive sur vos postes de travail et serveurs. Il combine l’Intelligence Artificielle et l’expertise des analystes Orange Cyberdefense. La détection proactive du Micro-SOC EDR permet de détecter les actions malveillantes sur votre système d’information avant que l’attaque soit réellement déclenchée. Cela permet de confiner l’appareil infecté et de remédier à l’attaque avant qu’elle n’envahisse les autres postes.

Le NDR apporte une visibilité étendue aux équipes du SOC, à l’échelle du réseau, pour détecter le comportement d’attaquants possiblement cachés, ciblant les infrastructures physiques, virtuelles et dans le Cloud. Il apporte de la complémentarité aux outils EDR et SIEM.

L’approche du NDR offre une vue d’ensemble et se concentre sur les interactions entre les différents nœuds du réseau. Le fait d’obtenir un contexte de détection plus large, peut révéler toute l’étendue d’une attaque et permettre des actions de réponse plus rapides et mieux ciblées.

À noter qu’il est indispensable d’avoir un outil d’EDR et/ou de SIEM avant d’acquérir un NDR, pour pouvoir investiguer correctement sur les alertes remontées par le NDR. Le NDR seul n’apporte pas assez de contexte pour pouvoir traiter l’alerte qu’il remonte.

Les solutions XDR permettent de démocratiser les outils de détection. En SaaS, elles permettent de regrouper des données provenant de différentes sources du système d’information et de les relier entre elles, afin de se protéger et de répondre au mieux lors de cyberattaques. Le XDR ne surveille pas seulement les Endpoints, mais aussi les emails, serveurs et le Cloud. En augmentant les capacités de détection, le XDR permet une réaction rapide aux menaces, en amont de la kill chain, limitant nettement les dégâts. Le XDR surveille en continu et de manière proactive pour alerter rapidement en cas de suspicion d’attaque.

En résumé :

• EDR : apporte plus de précisions et des capacités de remédiation sur les postes de travail et serveurs.
• NDR : couvre le réseau mais ne surveille pas les Endpoints.
• XDR : abroge les frontières des périmètres de détection, apporte de l’automatisation pour accélérer les investigations et détecter les attaques sophistiquées.

L’acronyme MDR regroupe les solutions managées (gérées par un fournisseur de cybersécurité) et le service de détection et de réponse aux incidents. Les solutions sont opérées par un SOC, interne ou externalisé, et permettent d’adresser de bout en bout les menaces cyber.

Grâce à l’automatisation, notamment via l’usage d’un outil d’orchestration (SOAR pour Security Orchestration Automation and Response), un analyste peut procéder à une remédiation lorsqu’une menace est détectée et confirmée. Il est également parfaitement possible, selon le niveau de maturité en cybersécurité d’une entité, d’appliquer automatiquement la remédiation.

Ces solutions permettent une accélération du traitement des alertes.

CSIRT veut dire Computer Security Incident Response Team. C’est une entité qui gère l’investigation et la réponse aux incidents critiques dans le cadre d’une crise cyber.

Les équipes du CSIRT travaillent en anticipation : les experts enrichissent nos différents outils de connaissance de la menace (Threat Intelligence). Ils interviennent également en cas d’urgence afin d’accompagner des entreprises dans la gestion de crises cyber.

 Chaque entreprise ayant des besoins bien spécifiques, les méthodes de détection et de réponse aux incidents varient de l’une à l’autre.

Il est cependant conseillé de fonctionner par combinaisons. Depuis 2015, le Gartner fait la promotion de cette idée. Selon l’analyste, pour atteindre une visibilité complète sur les menaces, un SIEM seul ne suffit pas. La crise sanitaire et la généralisation du télétravail ont notamment montré qu’il était extrêmement important de sécuriser les Endpoints.