1. Blog
  2. Managed Detection & Response
  3. SOC, SIEM, MDR, EDR… wat zijn de verschillen?

SOC, SIEM, MDR, EDR… wat zijn de verschillen?

Afkortingen domineren het jargon van incident detection en response. Dit is wat ze betekenen.

SOC en SIEM: wat zijn de verschillen?

SOC staat voor Security Operation Center. Een SOC richt zich op het monitoren van dreigingen en de kwalificatie van incidenten.

Om dit te bereiken, gebruiken analisten een tool genaamd “SIEM”, Security Information Management System. Een SIEM integreert software die wordt gebruikt om bedrijfsinfrastructuren te bewaken. Analisten configureren een set correlatieregels volgens het aanbevolen security beleid om mogelijke bedreigingen te detecteren.

EDR: Endpoint Detection Response

EDR software monitort terminals (computers, tablets, mobiele telefoons, enz.), niet het systeemnetwerk.

Om dit te doen, analyseert EDR software het gebruik van de bewaakte terminals, met name door gedragsanalyse. Dit maakt het mogelijk om na een leerfase afwijkend gedrag te herkennen. EDR software is ook in staat om de exploitatie van security gebreken te monitoren.

Het voordeel van EDR oplossingen is dat ze bedrijven in staat stellen zichzelf te beschermen tegen zowel bekende (bijvoorbeeld een virus) als onbekende aanvallen door verdacht gedrag te analyseren.

NDR: Network Detection & Response

NDR software biedt uitgebreide zichtbaarheid aan SOC-teams over het hele netwerk, om het gedrag te detecteren van mogelijk verborgen aanvallers die zich richten op fysieke, virtuele en cloud infrastructuren. Het vormt een aanvulling op de EDR en SIEM tools.

De NDR aanpak biedt een overzicht en richt zich op de interacties tussen de verschillende knooppunten van het netwerk. Het verkrijgen van een bredere detectie context kan de volledige omvang van een aanval onthullen en snellere en meer gerichte response acties mogelijk maken.

XDR: Extended Detection & Response

XDR software helpt security teams bij het oplossen van problemen met de zichtbaarheid van dreigingen door beveiligingsgegevens uit meerdere bronnen te centraliseren, standaardiseren en correleren. Deze aanpak verhoogt de detectiemogelijkheden in vergelijking met specifieke terminal detectie en response tools (EDR).

XDR biedt bijvoorbeeld volledige zichtbaarheid door netwerk data te gebruiken om kwetsbare (onbeheerde) endpoints te monitoren die niet kunnen worden gezien door EDR tools.

XDR analyseert gegevens uit meerdere bronnen (e-mails, endpoints, servers, netwerken, cloud streams…) om alerts te valideren en false positives (en het totale aantal alerts) te verminderen. Deze correlatie van indicatoren uit meerdere bronnen stelt XDR in staat om de efficiëntie van security teams te verbeteren.

Samengevat:

  • EDR: biedt meer details maar minder netwerkdekking.
  • NDR: bestrijkt het netwerk maar bewaakt geen endpoints.
  • XDR: doorbreekt de grenzen van detectieperimeters, brengt automatisering om onderzoeken te versnellen en geavanceerde aanvallen te detecteren.

MDR: Managed Detection Response

De afkorting MDR staat voor managed detectie en response. Deze oplossingen worden gemanaged door een cybersecurity provider. Ze worden beheerd door een interne of uitbestede SOC en maken end-to-end adressering van cyberdreigingen mogelijk.

Een analist kan herstel uitvoeren wanneer een dreiging wordt gedetecteerd en bevestigd door middel van automatisering, inclusief het gebruik van een orkestratietool (SOAR, Security Orchestration Automation and Response). Afhankelijk van het volwassenheidsniveau van de cybersecurity van de entiteit, is het ook heel goed mogelijk om automatisch herstel toe te passen.

Deze oplossingen zorgen voor een versnelling van de verwerking van alerts.

Wat is een CSIRT?

CSIRT staat voor Computer Security Incident Response Team. Dit team zorgt voor de afhandeling van incidenten.

De CSIRT teams werken anticiperend: ze verrijken onze verschillende threat intelligence tools (Threat Intelligence). Ze grijpen ook in bij noodsituaties om bedrijven te ondersteunen bij het beheersen van cybercrises.

Welke oplossing(en) moet je kiezen?

Elk bedrijf heeft specifieke behoeften en het detecteren van en reageren op incidenten verschilt per organisatie.

Het is echter raadzaam om in combinaties te werken. Gartner promoot dit idee sinds 2015. Volgens de analist is een SIEM alleen niet voldoende om volledig inzicht in dreigingen te krijgen. Met name de gezondheidscrisis en het wijdverbreide gebruik van telewerken hebben aangetoond dat het van essentieel belang is om endpoints te beveiligen.

Wat zijn de beste detectie- en responsoplossingen voor uw organisatie?
Doe onze test om erachter te komen!

Delen