SOC, SIEM, MDR, EDR... wat zijn de verschillen?

SOC en SIEM: wat zijn de verschillen?

We krijgen vaak vragen van klanten die aangeven dat ze op zoek zijn naar een "managed SOC/SIEM", alsof de twee van nature uitwisselbaar zijn. Echter zijn ze dat niet. Dus wat zijn ze precies?

SOC staat voor Security Operations Center. Een SOC richt zich meestal niet alleen op security operations (zoals het beheer van beveiligingsapparaten), maar ook op threat en vulnerability management, proactieve monitoring en incidentkwalificatie. Maar het kan voor verschillende mensen verschillende dingen betekenen. Eén ding is echter duidelijk: een SOC is een bedrijfsfunctie die een combinatie is van mensen, processen en technologie (of je nu interne medewerkers, procedures en tools gebruikt of het uitbesteedt).

SIEM daarentegen staat voor "Security Information and Event Management". Dit maakt niet alleen gestandaardiseerde verwerking van loggegevens van meerdere beveiligingstools mogelijk, maar ook uitgebreide monitoring met behulp van aangepaste logbronnen zoals op maat gemaakte applicaties of nicheproducten die niet door de bredere markt worden gebruikt. Een SIEM is een technologie voor security operations. Maar het is alleen dat - technologie - het draait zichzelf niet.

Waarom worden ze dan vaak in één adem genoemd? Wij geloven dat dit een verouderde term is dat langzaam aan het veranderen is. Toen detectie en respons als concept ontstond (ervan uitgaande dat 100% preventie onmogelijk is), was een SIEM effectief de enige manier om zo'n functie te leveren en dus kozen SOC-teams de SIEM als hun favoriete tool. Na verloop van tijd zijn er echter talloze opties ontstaan. Zelfs het SOC zelf begint zich op te splitsen in enkele sub functies.

Orange Cyberdefense verdeelt dit in drie duidelijke functies:

• SOC - de operationele centra die zorgen voor het beheer van beveiligingsapparaten en het monitoren van operationele platformen, veranderingen implementeren en ondersteuning en probleemoplossing bieden.
• CyberSOC - de operationele centra die zorgen voor proactieve monitoring van beveiligingsincidenten, analyse en triage van meldingsgegevens van verschillende beveiligingstechnologieën en een initiële incidentrespons bieden (bijvoorbeeld een initiëel incidentrapport, isolatie van geïnfecteerde machines).
• CERT - dit is het Computer Emergency Response Team. Dit team opereert zowel vanuit centrale operationele centra als met mobiele leden die activiteiten uitvoeren zoals incidentrespons ter plaatse bij klantlocaties/datacenters. Het CERT heeft verschillende functies:
  • Het verstrekken van bedreigings- en kwetsbaarheidsinformatie aan klanten en ook aan de andere bovengenoemde teams.
  • Het bieden van een CSIRT-functie (Computer Security Incident Response Team).
  • Het extern monitoren van de digitale risico's van klanten met behulp van verschillende openbare bronnen en informatie verkregen uit ondergrondse forums / gesloten websites (bijvoorbeeld wat algemeen bekend staat als het "Dark Web", of anders gezegd, sites die niet toegankelijk zijn via standaard internetbrowsers).

Nu we de teams kennen, wat zit er dan qua tools bij? We hebben hierboven de SIEM besproken, maar het is niet langer de enige optie voor het leveren van effectieve detectie en respons. Sterker nog, veel organisaties beginnen nu met de basis, Endpoint Detection and Response (EDR).

EDR: Endpoint Detection Response

EDR software monitort endpoints (computers, tablets, mobiele telefoons, enz.), niet het systeemnetwerk.

Om dit te doen, analyseert EDR software het gebruik van de bewaakte endpoints, met name door gedragsanalyse. Dit maakt het mogelijk om na een leerfase afwijkend gedrag te herkennen. EDR software is ook in staat om de exploitatie van security gebreken te monitoren.

Het voordeel van EDR oplossingen is dat ze bedrijven in staat stellen zichzelf te beschermen tegen zowel bekende (bijvoorbeeld een virus) als onbekende aanvallen door verdacht gedrag te analyseren.

Als aanvulling op EDR, wat betreft het leveren van basisfunctionaliteit voor detectie en respons, hebben we NDR.

NDR: Network Detection & Response

NDR software biedt uitgebreide zichtbaarheid aan SOC-teams over het hele netwerk, om het gedrag te detecteren van mogelijk verborgen aanvallers die zich richten op fysieke, virtuele en cloud infrastructuren. Het vormt een aanvulling op de EDR en SIEM tools.

De NDR aanpak biedt een overzicht en richt zich op de interacties tussen de verschillende knooppunten van het netwerk. Het verkrijgen van een bredere detectie context kan de volledige omvang van een aanval onthullen en snellere en meer gerichte response acties mogelijk maken.

XDR: Extended Detection & Response

XDR is een evolutie van EDR en heeft EDR effectief vervangen op de beveiligingsmarkt. Met EDR als basiscomponent streeft XDR-software ernaar om de eerder besproken benaderingen van EDR en NDR samen te brengen om beveiligingsteams te helpen bij het oplossen van problemen met dreigingszichtbaarheid door beveiligingsgegevens van meerdere bronnen te centraliseren, standaardiseren en correleren. Deze aanpak verhoogt de detectiemogelijkheden in vergelijking met op zichzelf staande endpoint detection and response-tools (EDR) of netwerkverkeersanalyse (NDR). Zo biedt XDR volledige zichtbaarheid door gebruik te maken van netwerkgegevens om kwetsbare (niet-beheerde) endpoints te monitoren die niet zichtbaar zijn voor EDR-tools, terwijl het ook verdacht netwerkverkeer laat zien in de context van zichtbaar gedrag op verschillende hosts die mogelijk verband houden met het verdachte netwerkverkeer.

XDR analyseert gegevens van meerdere bronnen (e-mailactiviteit, endpoints, servers, netwerken, cloudstreams, identiteitstechnologieën zoals AzureAD of andere SSO-providers...) om meldingen te valideren, waardoor false positives en de algehele hoeveelheid meldingen worden verminderd. Deze integratie van indicatoren uit meerdere bronnen stelt XDR in staat om de efficiëntie van beveiligingsteams te verbeteren.

Samengevat:

• EDR: biedt een gedetailleerd inzicht, maar heeft geen dekking voor niet-beheerde endpoints of endpoints die geen agent kunnen uitvoeren (bijv. printers, serverless cloud-omgevingen).
• NDR: heeft een breed overzicht van het hybride cloudnetwerk en volgt het gebruik van identiteit in de hele organisatie, maar controleert niet in detail wat er binnen endpoints gebeurt.
• XDR: doorbreekt de grenzen van detectieperimeters, brengt automatisering om onderzoeken te versnellen en streeft ernaar om het detecteren van geavanceerde aanvallen gemakkelijker te maken.
• SIEM: kost meer tijd en moeite om op te zetten en te onderhouden dan de bovenstaande benaderingen, maar biedt cruciale aanpasbaarheid en direct toegankelijke ruwe loggegevens wanneer nodig.

We hebben nog één laatste acroniem voor je.

MDR: Managed Detection Response

De afkorting MDR staat voor managed detection and response. MDR brengt de SOC-functie en de verschillende bovengenoemde oplossingen samen om een allesomvattende aanpak van cyberdreigingen mogelijk te maken. MDR levert een resultaat op.

Dus als je merkt dat je gedachten afdwalen naar de gedachte "Ik heb een beheerde SIEM/SOC nodig", dan zou je juist MDR moeten overwegen!

Met de juiste inzet van MDR-oplossingen beschik je over een betrouwbaar team en zit je stevig in het zadel en kun je razendsnel en onvermoeibaar digitaal blijven versnellen. In onze Managed Detection and Response Buyer’s Guide zie je snel wat de beste detectie- en responsoplossingen voor jouw organisatie zijn.