Enquanto entusiastas da segurança cibernética com interesses especiais nas soluções SIEM atuais, hoje optamos por avaliar várias soluções semelhantes a SIEM disponíveis, principalmente EDR, XDR e SOAR. Tentaremos desmistificar algumas das soluções de segurança populares, assim como avaliar seus recursos semelhantes e exclusivos.
XDR: detecção e resposta estendidas
O Gartner descreve o XDR como “uma ferramenta de detecção de ameaças de segurança e resposta a incidentes baseada em SaaS, específica do fornecedor, que integra nativamente vários produtos de segurança em um sistema de operações de segurança coeso que unifica todos os componentes licenciados”.
O XDR visa resolver o problema de detecções e respostas em silos em várias camadas de segurança, como nuvem, endpoints, soluções pontuais e outros componentes de rede. Ele foi projetado para fornecer inteligência de ameaças mais rica do que as soluções de segurança atuais. As soluções XDR também oferecem análise automatizada de diferentes dados, correlacionando pontos de dados em diferentes camadas para fornecer resultados de detecção de ameaças mais precisos.
Se você é do tipo aventureiro que construiu sua própria equipe SOC, investir em uma solução XDR pode ser inestimável para seu programa de segurança. Se você não tem certeza se precisa construir seu próprio SOC ou terceirizar sua segurança, sugerimos que você leia outro post do nosso blog, SOC local ou MSSP? Como escolher a segurança que funciona para sua organização, para ajudá-lo a tomar essa decisão.
As soluções XDR podem:
-
Agregue dados de log, monitore sistemas, detecte eventos e alerte suas equipes de SOC. Os dados agregados em várias camadas de segurança podem ser usados para criar um conjunto de dados rico que pode alimentar uma inteligência de ameaças mais forte e contextualizada e pode ajudar a ajustar melhor seus controles de segurança.
-
Investigue incidentes de segurança e crie uma única fonte de verdade para análises de eventos em diferentes camadas de segurança.
-
Busque ameaças para eventos que conseguiram escapar dos controles de segurança que você configurou e que os analistas podem perder.
EDR: detecção e resposta para endpoints
O EDR funciona como um subconjunto do XDR. As soluções de EDR oferecem uma proteção exclusiva de endpoints, monitorando atividades maliciosas que acontecem neles. Os EDRs coletam dados, como logins de usuários e execuções de processos, e podem realizar análises comportamentais para detectar eventos anômalos.
As soluções EDR podem:
-
Permitir que as equipes de SOC monitorem a atividade em todos os terminais, incluindo aplicativos, processos e comunicações, a partir de um único console.
-
Criar um conjunto de dados de eventos registrados para análise, o que pode ajudá-lo a entender os comportamentos dos invasores e evitar futuras violações.
-
Identificar IoCs e correlacione-os com inteligência de ameaças para adicionar contexto a possíveis ataques e agentes de ameaças.
-
Fornecer alertas em tempo real contextualizados, facilitando a investigação do incidente pelos analistas.
-
Coletar dados que ajudem os analistas a descobrir possíveis vetores de ataque.
-
Desabilitar os processos que impedem que um ataque se espalhe para outros endpoints.
Considerando que o EDR gira inteiramente em torno da segurança de endpoints, as pessoas podem supor que as soluções antivírus são iguais ao EDR. A verdade é que as soluções antivírus fazem apenas uma parte do que o EDR faz. Os antivírus usam a detecção baseada em assinatura para identificar que um malware está em sua rede, mas não fornecem detalhes sobre como ele entrou na rede e o que causou a propagação da infecção. Os EDRs também podem detectar ameaças persistentes avançadas e malwares sem arquivo que não deixam assinaturas e geralmente identificados por soluções antivírus.
SOAR: Orquestração de segurança e resposta automatizada
SOAR é uma solução que converge três funções primárias de segurança: gerenciamento de ameaças, resposta a incidentes e automação de operações de segurança, em uma única solução de segurança holística. O SOAR visa aliviar a pressão sobre as equipes de segurança de TI que gerenciam um grande número de alertas de rede;alertas negligenciados afetarão negativamente a segurança. Essa solução garante que as ameaças sejam identificadas e uma estratégia de resposta seja implementada. O sistema é então automatizado ao máximo para funcionar com mais eficiência. Um novo recurso do SOAR é o uso de playbooks que automatizam e coordenam os fluxos de trabalho; estes podem incluir qualquer número de ferramentas de segurança díspares, bem como ações humanas.
As soluções SOAR podem:
-
Reunir dados de segurança perfeitamente de várias fontes em sua rede, como firewalls, servidores, endpoints e aplicativos, incluindo scanners de vulnerabilidade, software de prevenção de perda de dados e aplicativos de ameaças.
- Automatizar os fluxos de trabalho de resposta, quando os alertas são acionados, para mitigar os incidentes de segurança da rede antes que causem danos ou resultem em uma violação.
- Ingerir dados de alerta , que por sua vez acionam manuais que automatizam e orquestram fluxos de trabalho ou tarefas de resposta. Em seguida, usando uma combinação de aprendizado humano e de máquina, as organizações podem analisar esses diversos dados para compreender e priorizar ações automatizadas de resposta a incidentes para quaisquer ameaças futuras.
Nós não vamos falar sobre SIEM nesse artigo, pois já publicamos sobre o assunto. Se você está procurando os motivos pelos quais o SIEM é uma ótima opção de segurança, aqui está um artigo que explica isso:
SIEM simplificado: um guia para iniciantes
Como XDR, EDR e SOAR se relacionam com o SIEM
O XDR é mais um conceito de nova geração que visa melhorar o SIEM, ou pelo menos é assim que os fornecedores de XDR o divulgam. Alguns o veem como uma plataforma evoluída que está mais intensamente focada na mitigação de ameaças do que uma solução SIEM, já que o gerenciamento de conformidade está no centro do SIEM e o gerenciamento de ameaças é apenas uma consequência disso. O XDR depende muito de vários mecanismos de detecção para criar repositórios de dados ricos e, em seguida, amplia conjuntos de dados mais estreitos para fornecer informações mais granulares sobre a atividade da rede.
O EDR tem um relacionamento mais orgânico com o SIEM, pois processa dados brutos de log, identifica eventos suspeitos e envia apenas os alertas gerados por esses eventos para a solução SIEM. As soluções SIEM coletam e agregam todos os dados de segurança provenientes de plataformas integradas que registram dados relacionados a eventos – de EDRs, até XDRs, firewalls, dispositivos de rede, sistemas de detecção e prevenção de intrusão, correlacionam esses dados entre dispositivos e analisam incidentes e emitem alertas de acordo. Como a quantidade de dados originados é grande, as equipes de SOC geralmente experimentam fadiga de alerta.
O SOAR, por outro lado, foi projetado para ajudar as equipes de segurança a automatizar a resposta a incidentes, respondendo aos intermináveis alertas gerados pelo SIEM. Com o SOAR, as equipes de SOC podem lidar com o estouro de alertas com eficiência, criando fluxos de trabalho de resposta a incidentes automatizados e adaptáveis. Isso lhes dá a capacidade de priorizar ameaças e fornecer resultados mais rápidos.
Em última análise, a melhor abordagem de segurança de uma organização ainda é SIEM e SOAR, pois são soluções adequadas a uma variedade de casos, e abordam conformidade, operações e segurança sob um único guarda-chuva. Além disso, esse design já foi experimentado e testado e é conhecido por melhorar a eficácia da equipe de SOC e mitigar com sucesso as vulnerabilidades da organização.
Quer saber mais? Confira as nossas soluções de segurança para a sua empresa.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Justin.