Portal do Cliente
Conteúdo Geral
Compreendendo a diferença entre EDR, SIEM, SOAR e XDR
Brasiline
8 de outubro de 2021

O setor de segurança cibernética está repleto de jargões, abreviações e acrônimos.

À medida que os vetores de ataques sofisticados se multiplicam, de endpoints a redes e à nuvem, muitas empresas estão adotando uma nova abordagem para combater ameaças avançadas: Extended Detection and Response, dando origem a mais um acrônimo: XDR. E embora a XDR tenha ganhado muita força este ano dos líderes do setor e da comunidade de analistas, a XDR ainda é um conceito em evolução e, como tal, há confusão em torno do tópico.

Esta postagem tem como objetivo esclarecer algumas questões comuns sobre XDR e diferenças em comparação com EDR, SIEM e SOAR.

O que é EDR?

O EDR fornece a uma organização a capacidade de monitorar terminais quanto a comportamento suspeito e registrar cada atividade e evento. Em seguida, ele correlaciona informações para fornecer contexto crítico para detectar ameaças avançadas e, finalmente, executa a atividade de resposta automatizada, como isolar um endpoint infectado da rede quase em tempo real.

O que é XDR?

XDR é a evolução de EDR , detecção de endpoint e resposta. Enquanto o EDR coleta e correlaciona atividades em vários endpoints, o XDR amplia o escopo de detecção além dos endpoints para fornecer detecção, análise e resposta em endpoints, redes, servidores, cargas de trabalho em nuvem, SIEM e muito mais.

Isso fornece um painel de visão único e unificado em várias ferramentas e vetores de ataque. Essa visibilidade aprimorada fornece contextualização dessas ameaças para auxiliar na triagem, investigação e esforços de correção rápida.

O XDR coleta e correlaciona dados automaticamente em vários vetores de segurança, facilitando a detecção mais rápida de ameaças para que os analistas de segurança possam responder rapidamente antes que o escopo da ameaça se amplie. Integrações prontas para uso e mecanismos de detecção pré-ajustados em vários produtos e plataformas diferentes ajudam a melhorar a produtividade, a detecção de ameaças e a perícia.

Como o XDR é diferente do SIEM?

Quando falamos sobre XDR, algumas pessoas pensam que estamos descrevendo uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) de uma maneira diferente. Mas XDR e SIEM são duas coisas diferentes.

O SIEM coleta, agrega, analisa e armazena grandes volumes de dados de log de toda a empresa. O SIEM começou sua jornada com uma abordagem muito ampla: coleta de dados de log e eventos disponíveis de quase todas as fontes da empresa para serem armazenados em vários casos de uso. Isso incluiu governança e conformidade, correspondência de padrões baseada em regras, detecção de ameaças heurísticas / comportamentais como UEBA e busca em fontes de telemetria por IOCs ou indicadores atômicos.

As ferramentas SIEM, no entanto, requerem muitos ajustes e esforços para serem implementadas. As equipes de segurança também podem ficar sobrecarregadas com o grande número de alertas que vêm de um SIEM, fazendo com que o SOC ignore os alertas críticos. Além disso, embora um SIEM capture dados de dezenas de fontes e sensores, ainda é uma ferramenta analítica passiva que emite alertas.

A plataforma XDR visa resolver os desafios da ferramenta SIEM para detecção e resposta eficazes a ataques direcionados e inclui análise de comportamento, inteligência de ameaças, perfis de comportamento e análises.

Como o XDR é diferente do SOAR?

As plataformas de orquestração de segurança e resposta automatizada (SOAR) são usadas por equipes de operações de segurança maduras para construir e executar playbooks de várias etapas que automatizam ações em um ecossistema de soluções de segurança conectado por API. Em contraste, o XDR permitirá integrações de ecossistema por meio do Marketplace e fornecerá mecanismos para automatizar ações simples contra controles de segurança de terceiros.

SOAR é complexo, caro e requer um SOC altamente maduro para implementar e manter integrações de parceiros e manuais. O XDR foi criado para ser 'SOAR-lite': uma solução simples, intuitiva e sem código que fornece capacidade de ação da plataforma XDR para ferramentas de segurança conectadas.


O que é MXDR?

Detecção e resposta estendidas gerenciadas (MXDR) estende os serviços de MDR por toda a empresa para obter uma solução totalmente gerenciada que inclui análises e operações de segurança, caça avançada a ameaças, detecção e resposta rápida em ambientes de endpoint, rede e nuvem.

Um serviço MXDR aumenta os recursos XDR do cliente com serviços MDR para monitoramento adicional, investigações, caça a ameaças e recursos de resposta.

Por que a XDR está ganhando força e gerando buzz?

O XDR substitui a segurança em silos e ajuda as organizações a enfrentar os desafios da segurança cibernética de um ponto de vista unificado. Com um único pool de dados brutos compreendendo informações de todo o ecossistema, o XDR permite uma detecção e resposta mais rápida, profunda e eficaz de ameaças do que o EDR, coletando e agrupando dados de uma ampla gama de fontes.

O XDR fornece mais visibilidade e contexto das ameaças; incidentes que de outra forma não teriam sido tratados antes surgirão em um nível mais alto de consciência, permitindo que as equipes de segurança corrijam e reduzam qualquer impacto adicional e minimizem o escopo do ataque.

Um ataque de ransomware típico atravessa a rede, chega a uma caixa de entrada de e-mail e, em seguida, ataca o endpoint. Abordar a segurança olhando para cada um deles independentemente coloca as organizações em desvantagem. XDR integra controles de segurança díspares para fornecer ações de resposta automatizadas ou com um clique em todo o estado de segurança da empresa, como desabilitar o acesso do usuário, forçar a autenticação multifator em caso de suspeita de comprometimento da conta, bloquear domínios de entrada e hashes de arquivo e muito mais - tudo por meio de regras personalizadas escritas por o usuário ou pela lógica embutida no mecanismo de resposta prescritiva.

Com um único pool de dados brutos compreendendo informações de todo o ecossistema, o XDR permite uma detecção e resposta mais rápida, profunda e eficaz de ameaças do que o EDR, coletando e agrupando dados de uma ampla gama de fontes.

Essa visibilidade abrangente leva a vários benefícios, incluindo:

  • Reduzindo o tempo médio de detecção (MTTD) correlacionando as fontes de dados.
  •  Reduzindo o tempo médio de investigação (MTTI), acelerando a triagem e reduzindo o tempo de investigação e o escopo.
  • Reduzindo o tempo médio de resposta (MTTR), permitindo uma automação simples, rápida e relevante.
  • Melhorando a visibilidade de toda a área de segurança.

Além disso, graças à IA e à automação, o XDR ajuda a reduzir a carga de trabalho manual dos analistas de segurança. Uma solução XDR pode detectar ameaças sofisticadas de forma proativa e rápida, aumentando a segurança ou a produtividade da equipe SOC e retornando um grande aumento no ROI para a organização.
SentinelOne Singularity XDR

Fonte

 

Mais Recentes
Resumo de Ransomware - KageNoHitobito e DoNex
Brasiline
30 de abril de 2024
A cada duas semanas, o FortiGuard Labs reúne dados sobre variantes de ransomware de interesse que têm ganhado destaque nos […]
Principais descobertas do Relatório de Segurança na Nuvem de 2024
Brasiline
24 de abril de 2024
À medida que as organizações desenvolvem e implementam mais aplicativos na nuvem, a segurança se torna mais complicada. Muitas empresas […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?