三足鼎立的SIEM、SOAR和XDR

news2024/11/18 7:49:41

在这里插入图片描述

如今,变化的安全挑战、多态的IT架构、复杂的建设需求、严苛的合规审查……,甲方心力交瘁,乙方疲于奔命。传统安全产品交付模式,投入大、成本高、难维护、效果差,完全无法应对。

网络攻击的增长导致合规要求更加严格。法案、标准、监管——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了SIEM系统。有近二十年的时间,安全信息和事件管理 (SIEM) 平台是唯一可以帮助安全团队集检测、调查和响应为一体的解决方案。

不幸的是,随着时间的推移,SIEM 面临着一系列挑战。虽然SIEM曾经足够好了,但它们在预防、检测和响应不断增长的攻击面的威胁方面不再那么有效。此外,SIEM工具以价格昂贵、部署具有挑战性以及操作和维护繁琐而著称。

后来,许多机构在SIEM的基础之上,通过安全编排、自动化和响应 (SOAR -Security Orchestration, Automation and Response) 解决方案聚合来自端点、电子邮件、云和其他系统的警报以提升其能力。SOAR解决方案支持自动化、编排和其他分析工具,从而可以集中管理与潜在威胁相关的关键信息。但SOAR也伴随着高成本和复杂性,需要一个很成熟的安全运营中心 (SOC) 来实施并维护其与合作伙伴的集成和剧本。

SIEM和SOAR等解决方案在当今的网络安全环境中已达到其极限,在预防、检测和响应不断增长的攻击面的威胁方面不再有效。因此,机构正在转向扩展检测和响应 (XDR) ,以统一整个企业的威胁检测和响应。事实上,60%的机构计划在未来12个月内实施或进一步增加XDR 的使用。

但是这些解决方案之间有什么区别呢?哪个适合自己的组织?

什么是 SIEM?

SIEM不是一个单独的工具或应用程序,而是一组不同的构建块,它们都是系统的一部分,它是一个由多个监视和分析组件构成的安全系统。SIEM没有标准的SIEM协议或已建立的方法,包括了聚合、处理和标准化、关联、呈现、缓解和修复等五项元素。

SIEM负责收集、汇总、分析、存储和报告自整个组织的大量日志数据,用于事件响应、取证和合规性,旨在帮助组织检测和减轻威胁。虽然首字母缩略词 SIEM 是 Gartner 在 2005 年首次创造的,但SIEM的基础功能已经存在更长时间了。早在 1990 年代,有远见的机构就认识到他们需要将不同源的安全日志整合到一个系统中,以便分析和满足合规性要求。

SIEM工具聚合日志数据,从分布式自动收集和处理信息来源,并将它集中存储,为SecOps团队提供了统一的遥测资源。它还可以保留用于取证和合规目的的数据,并进行不同事件之间的关联,跨系统查询数据以进行威胁检测和调查,并根据这些信息生成警报和报告,以及提供仪表盘等,以帮助 SecOps 员工按需监控环境,满足审计要求。

然而,SIEM工具需要大量的微调和努力来实施,安全团队也可能被来自SIEM的大量警报所淹没,导致SOC忽视关键警报。此外,即使SIEM从几十个来源和传感器捕捉数据,它仍然是一个被动的分析工具,发出警报。

在这里插入图片描述

什么是 SOAR?

安全自动化是安全操作相关任务的自动处理,包括管理职责和事件检测与响应。安全自动化使安全团队能够随着工作负载的增长而相应扩展其能力。安全编排是一种连接安全工具和集成不同安全系统的方法,是简化安全流程和支持自动化的连接层。目前有66% 的分析工程师认为他们的一半任务可以自动化。出于这个原因,一些机构转向了SOAR平台。

SOAR通常被用作为SIEM系统的扩展,可以提供剧本将分析师常用工作流程自动化,并可帮助实施“安全中间件”,允许不同的安全工具进行通信。 SOAR通过丰富数据、改进警报分类和自动执行重复性任务来改进 SOC 流程。

但是,SOAR很复杂,成本很高,需要一个高度成熟的SOC来实施和维护合作伙伴的集成和操作手册。

在这里插入图片描述

什么是扩展检测和响应(XDR)?

XDR是一种安全产品集成套件,能够全面跨越混合型IT架构(涵盖局域网、广域网、基础设施即服务乃至数据中心等),实现威胁预防、检测与响应等要素的互操作与协调功能。换句话说,XDR正努力把控制点、安全遥测、分析与操作整合到统一的管理系统中。

安全行业正经历着转向XDR这个新型解决方案的过程。因为XDR聚合了整个企业的安全数据,所以有些人可能会认为它只是 SIEM 的进化版本。但事实却是XDR远远超出了传统 SIEM的特征,它通过更有效的安全能力、更快的工作流程、更好的事件管理和更高的可见性提供了有形价值。

XDR 一词于2018年首次引入,指的是新一代安全解决方案。分析公司 Gartner 将其描述为“威胁检测和事件响应工具,将多种安全产品原生集成到一个有凝聚力的安全操作系统中”。XDR中的“X”代表对整个IT生态系统保护的集成和扩展,从而比以往任何时候都更进一步地“扩展”了保护。XDR的前身是端点检测和响应 (EDR),EDR专注于监控和保护组织机构免受端点威胁。随着数据越过边界,XDR有必要将保护范围扩展到网络、服务器、云以及端点。

XDR承诺以开箱即用的自动操作快速应对各类繁琐枯燥的安全任务。在这方面,我们也可以把XDR理解成一种低成本的交钥匙型安全协调与响应(SOAR)解决方案。

XDR 能提供高级检测、快速响应和直观的自动化,可满足大多数客户的需求,而无需 SIEM 不可预测的定价或第三方 SOAR 解决方案的额外成本。通过将多个安全工具整合到一个威胁检测和响应平台中,XDR 缓解了管理多个独立解决方案所需要的时间、精力及格外的复杂性。

在这里插入图片描述

比较SIEM 、SOAR 和 XDR

SIEM非常适合收集和分析大量日志和其他数据。对SIEM进行了大量投资的机构可能仍会选择将其用于合规性和审计的目的——尤其是在金融和医疗保健等面临严格监管审查的行业。但是SIEM技术是在2000年代中期首次引入的,当时的威胁形势与现在大不相同。虽然SIEM曾经满足过当时的需要,但面对不断增长的攻击面威胁,它在预防、检测和响应不再那么有效了。

SIEM用户面临着一系列的挑战,包括不可预测的成本、过多的噪音以及有限的检测和响应能力。运行SIEM需要高度专业化的工作人员,不仅需要构建SIEM,还要开发检测分析功能。对于想要完善其安全程序并提高其对攻击做出反应和响应能力的公司而言,XDR是一种更具成本效益且量身定制的解决方案。

XDR可以作为一个互连系统,使环境中的各个方面都获益于威胁情报,而不会带来任何共担风险或格外成本。XDR可以对目标攻击提供更有效的检测和响应,包括对行为分析、事件响应、威胁情报和自动化的原生支持。

SOAR解决方案将SOC核心流程自动化,从而只需要更少的资源和时间实现更高效的响应。增加的效率帮助机构减少了平均响应时间 (MTTR - mean time to respond)。而快速响应可减少滞留时间,快速遏制入侵者,限制攻击的影响。SOAR对SIEM有很大价值的补充。

相比之下,XDR内置威胁检测、调查和响应(TDIR)用例包,提供了规范工作流和数据源、检测模型、监视列表、调查清单和响应等内容。XDR能够提供高级检测、快速响应和直观的自动化,可以满足大多数客户的需求,而无需增加SOAR解决方案所带来的成本。XDR自动关联、确定优先级和验证警报,使安全团队能够高效地处理最紧迫的威胁。它还提供内置的安全调查工作流程和自动化剧本,有助于简化调查并加快响应行动。

简而言之,XDR超越了端点,旨在成为 “SOAR-lite”:一个简单、直观、零代码的解决方案和轻量化工具,提供从XDR平台到连接安全工具的可操作性。根据来自更多产品的数据做出决策,并可以通过对电子邮件、网络、身份和其他方面采取行动,在你的堆栈中采取行动。除此之外,XDR还可有效降低长期折磨安全人员的大量警告噪音,减轻手动工作的负担并节省分析师的宝贵时间。

XDR目前仍是一个新兴的安全领域,结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA),集中安全数据和事件响应,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR平台旨在解决SIEM工具的挑战,以有效地检测和应对目标攻击,包括行为分析、威胁情报、行为剖析和分析。此番行动不禁让大家联想到,SIEM是否会就此转向XDR。而XDR和SIEM并不是融合,而是相互碰撞。XDR目前并不能取代安全分析平台或安全信息和事件管理(SIEM)解决方案,目前还是一个共存的局面。而安全分析平台可以帮助XDR增强威胁检测能力。

SIEM、SOAR、XDR的比较如下:

在这里插入图片描述

XDR的快速发展,SIEM领域终于有了真正的竞争对手,这对于SIEM厂商来说既是挑战,也是机遇,因为安全行业最能够拉开差距的就是技能方面的差异。

参考来源:Understanding SOAR vs SIEM vs XDR | Secureworks

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/727024.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

经典目标检测算法模型总结汇总

这里主要是想要记录汇总一下平时有意无意查资料、学习等了解查阅的目标检测领域中各种模型的原理、优点缺点等内容,主要是方便温故知新,也希望能帮到需要的人。 目标检测任务涌现了很多经典的模型,下面是一个模型的总结记录。 (1)R-CNN&…

如何一次性修改文件扩展名

现代社会中,我们经常需要处理大量的文件,有时候需要批量修改文件的扩展名。在这种情况下,使用文件管理工具可以帮助我们快速完成这项任务。下面,我将介绍如何使用“固乔文件管家”这个文件管理工具来一次性修改文件扩展名。 首先&…

红外雨量计(光学雨量传感器)在智慧灌溉中的应用

红外雨量计(光学雨量传感器)在智慧灌溉中的应用 红外雨量计是一种利用红外线原理测量雨水量的传感器,可以用于智慧灌溉中实现精准测量和控制灌溉量,从而提高灌溉效率和节约水资源。 红外雨量计可以通过测量雨滴数量和大小&#x…

PaddleClas:训练技巧

训练技巧 1.优化器的选择 带momentum的SGD优化器有两个劣势,其一是收敛速度慢,其二是初始学习率的设置需要依靠大量的经验,然而如果初始学习率设置得当并且迭代轮数充足,该优化器也会在众多的优化器中脱颖而出,使得其…

基于springboot的教学助手后端管理系统设计与实现(源码+文档+开题+数据库+任务书)

教学助手系统是高校教学、教学管理的重要应用系统。随着教研教改的深入发展,信息技术的运用已经成为打造高效课堂必不可少的重要手段。教学助手软件集教材资源分享、课前导学、课堂互动、在线检测、课后作业等功能为一体,拓展教学时空,增强教…

python爬虫_requests获取bilibili锻刀村系列的字幕并用分词划分可视化词云图展示

文章目录 ⭐前言⭐获取字幕步骤💖 查找heartbeat接口💖 字幕api接口💖 正则提取p标签的内容 ⭐分词⭐结束 ⭐前言 大家好,我是yma16,本文分享python的requests获取哔哩哔哩锻刀村的字幕并用分词划分可视化词云图展示。…

Linux MySQL数据迁移

背景:MySQL安装时如果数据文件存在系统盘,随着业务的增长,必定会占用越来越多的系统盘空间直至爆满。为了给系统盘腾出空间来维持服务器的正常运转,需要将MySQL数据文件转移到其他磁盘。 实现步骤:1.在其他磁盘上创建…

Redis集群环境搭建[CentOS7]

下载 cd /usr/local/src/ wget https://mirrors.huaweicloud.com/redis/redis-7.0.11.tar.gz编译安装 tar -xzvf /usr/local/src/redis-7.0.11.tar.gz -C /usr/local/src/ cd /usr/local/src/redis-7.0.11 make PREFIX/usr/local/redis-7.0.11 install制作集群配置模板 cat …

删除排序链表中的重复元素(保留一个重复元素或不保留重复元素)

题目1:给定一个已排序的链表的头 head , 删除所有重复的元素,使每个元素只出现一次 。返回 已排序的链表 。(重复元素不全部都删除,需要保留一个) 解题思路: 遍历链表,找到重复元素…

Openlayers Draw的用法、属性、方法、事件介绍

Openlayers Draw绘制功能比较常用,如我们需要手动绘制一些点、线、面、多边形,圆等图形,Openlayers为我们提供了相关的API,主要API都在ol/interaction/Draw里面,绘制的API使用起来也比较简单,首先创建一个Draw对象,然后再使用Map的addInteraction方法添加该对象,就可以…

造个CPU玩玩——从硬件到软件的设计

本文使用模拟电路制造CPU——纸上谈兵。 计算机中蕴藏的哲理 最基本的思想是:通过基本电路的接线,确立输入-输出规则,类似函数的入参和返回值,便构成一个功能电路单元。单元套单元组成新单元,如此往复。“一生二&…

vue实现指定div右键显示菜单,并实现复制内容到粘贴板

效果图 实现 全有注释&#xff0c;代码如下&#xff1a; <!--指定的需要右键菜单的div--><div class"content" contextmenu.prevent"showMenu($event, item)"><span class"content_msg">{{item}}</span></div>&…

Python如何批量将图片以超链接的形式插入Excel

【研发背景】 在日常办公中&#xff0c;我们经常需要将图片插入进Excel中&#xff0c;但是如果插入的图片太多的话&#xff0c;就会导致Excel的文件内存越来越大&#xff0c;但是如果我直插入图片的路径&#xff0c;或者只是更改某一列的数据设置为超链接&#xff0c;这样的话&…

拉格朗日乘子法

首先定义一个原始最优化问题&#xff1a; 引入广义拉格朗日函数&#xff0c;将约束问题转换为无约束优化问题&#xff1a; 参数和自变量x求偏导&#xff0c;分别为零&#xff0c;就能解出一个值&#xff08;极大值或者极小值&#xff09;。 直接求解有时候非常困难&#xff0c…

企业和公司扩展WordPress网站的4种方法

Netflix 通过邮递观看 DVD。Apple 是一家计算机公司&#xff0c;而不是电话公司。WordPress 是一个博客平台。 这三个陈述有什么共同点&#xff1f;十年前都是对的&#xff0c;现在都不是了。如今&#xff0c;Netflix 以数字方式提供原创内容而闻名。Apple 正在推出其广受欢迎…

从零开始 Spring Boot 62:过滤实体和关系

从零开始 Spring Boot 62&#xff1a;过滤实体和关系 图源&#xff1a;简书 (jianshu.com) JPA&#xff08;Hibernate&#xff09;中有一些注解可以用于筛选实体和关系&#xff0c;本文将介绍这些注解。 Where 有时候&#xff0c;我们希望对表中的数据进行“软删除”&#x…

Meta为全天候AR眼镜设计了AI系统的八大指导方针

众所周知&#xff0c;Meta不仅局限在Quest这类VR头显上&#xff0c;同时还在打造更轻量化的AR眼镜&#xff0c;目标就是让产品更好的融入到人们的日常生活中去。除了硬件上轻量化以外&#xff0c;在功能和交互体验上也至关重要&#xff0c;例如自然交互方式&#xff0c;比如手势…

什么是人工智能大模型?

目录 1. 人工智能大模型的概述&#xff1a;2. 典型的人工智能大模型&#xff1a;3. 人工智能大模型的应用领域&#xff1a;4. 人工智能大模型的挑战与未来&#xff1a;5. 人工智能大模型的开发和应用&#xff1a;6. 人工智能大模型的学习资源&#xff1a; 人工智能大模型是指具…

MySQL(创建、删除、查询数据库以及依据数据类型建表)

一、 1.创建数据库&#xff0c; mysql> CREATE DATABASE IF NOT EXISTS SECOND_DB; Query OK, 1 row affected (0.01 sec)2.删除数据库&#xff0c; mysql> DROP DATABASE IF EXISTS SECOND_DB; Query OK, 0 rows affected (0.11 sec)3.查询创建数据的语句&#xff0c;…

优化模型案例

案例1 生产决策问题 &#xff08;一个简单的线性规划问题&#xff09; 某工厂在计划期内要安排I、II两种产品生产。生产单位产品所需的设备台时&#xff0c;A&#xff0c;B两种原材料的消耗&#xff0c;资源的限制以及单件产品利润如下表所示 问工厂应分别生产多少单位产品I和…