Portal do Cliente
Conteúdo Geral
Compreendendo a diferença entre EDR, SIEM, SOAR e XDR
Brasiline
8 de outubro de 2021

O setor de segurança cibernética está repleto de jargões, abreviações e acrônimos.

À medida que os vetores de ataques sofisticados se multiplicam, de endpoints a redes e à nuvem, muitas empresas estão adotando uma nova abordagem para combater ameaças avançadas: Extended Detection and Response, dando origem a mais um acrônimo: XDR. E embora a XDR tenha ganhado muita força este ano dos líderes do setor e da comunidade de analistas, a XDR ainda é um conceito em evolução e, como tal, há confusão em torno do tópico.

Esta postagem tem como objetivo esclarecer algumas questões comuns sobre XDR e diferenças em comparação com EDR, SIEM e SOAR.

O que é EDR?

O EDR fornece a uma organização a capacidade de monitorar terminais quanto a comportamento suspeito e registrar cada atividade e evento. Em seguida, ele correlaciona informações para fornecer contexto crítico para detectar ameaças avançadas e, finalmente, executa a atividade de resposta automatizada, como isolar um endpoint infectado da rede quase em tempo real.

O que é XDR?

XDR é a evolução de EDR , detecção de endpoint e resposta. Enquanto o EDR coleta e correlaciona atividades em vários endpoints, o XDR amplia o escopo de detecção além dos endpoints para fornecer detecção, análise e resposta em endpoints, redes, servidores, cargas de trabalho em nuvem, SIEM e muito mais.

Isso fornece um painel de visão único e unificado em várias ferramentas e vetores de ataque. Essa visibilidade aprimorada fornece contextualização dessas ameaças para auxiliar na triagem, investigação e esforços de correção rápida.

O XDR coleta e correlaciona dados automaticamente em vários vetores de segurança, facilitando a detecção mais rápida de ameaças para que os analistas de segurança possam responder rapidamente antes que o escopo da ameaça se amplie. Integrações prontas para uso e mecanismos de detecção pré-ajustados em vários produtos e plataformas diferentes ajudam a melhorar a produtividade, a detecção de ameaças e a perícia.

Como o XDR é diferente do SIEM?

Quando falamos sobre XDR, algumas pessoas pensam que estamos descrevendo uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) de uma maneira diferente. Mas XDR e SIEM são duas coisas diferentes.

O SIEM coleta, agrega, analisa e armazena grandes volumes de dados de log de toda a empresa. O SIEM começou sua jornada com uma abordagem muito ampla: coleta de dados de log e eventos disponíveis de quase todas as fontes da empresa para serem armazenados em vários casos de uso. Isso incluiu governança e conformidade, correspondência de padrões baseada em regras, detecção de ameaças heurísticas / comportamentais como UEBA e busca em fontes de telemetria por IOCs ou indicadores atômicos.

As ferramentas SIEM, no entanto, requerem muitos ajustes e esforços para serem implementadas. As equipes de segurança também podem ficar sobrecarregadas com o grande número de alertas que vêm de um SIEM, fazendo com que o SOC ignore os alertas críticos. Além disso, embora um SIEM capture dados de dezenas de fontes e sensores, ainda é uma ferramenta analítica passiva que emite alertas.

A plataforma XDR visa resolver os desafios da ferramenta SIEM para detecção e resposta eficazes a ataques direcionados e inclui análise de comportamento, inteligência de ameaças, perfis de comportamento e análises.

Como o XDR é diferente do SOAR?

As plataformas de orquestração de segurança e resposta automatizada (SOAR) são usadas por equipes de operações de segurança maduras para construir e executar playbooks de várias etapas que automatizam ações em um ecossistema de soluções de segurança conectado por API. Em contraste, o XDR permitirá integrações de ecossistema por meio do Marketplace e fornecerá mecanismos para automatizar ações simples contra controles de segurança de terceiros.

SOAR é complexo, caro e requer um SOC altamente maduro para implementar e manter integrações de parceiros e manuais. O XDR foi criado para ser 'SOAR-lite': uma solução simples, intuitiva e sem código que fornece capacidade de ação da plataforma XDR para ferramentas de segurança conectadas.


O que é MXDR?

Detecção e resposta estendidas gerenciadas (MXDR) estende os serviços de MDR por toda a empresa para obter uma solução totalmente gerenciada que inclui análises e operações de segurança, caça avançada a ameaças, detecção e resposta rápida em ambientes de endpoint, rede e nuvem.

Um serviço MXDR aumenta os recursos XDR do cliente com serviços MDR para monitoramento adicional, investigações, caça a ameaças e recursos de resposta.

Por que a XDR está ganhando força e gerando buzz?

O XDR substitui a segurança em silos e ajuda as organizações a enfrentar os desafios da segurança cibernética de um ponto de vista unificado. Com um único pool de dados brutos compreendendo informações de todo o ecossistema, o XDR permite uma detecção e resposta mais rápida, profunda e eficaz de ameaças do que o EDR, coletando e agrupando dados de uma ampla gama de fontes.

O XDR fornece mais visibilidade e contexto das ameaças; incidentes que de outra forma não teriam sido tratados antes surgirão em um nível mais alto de consciência, permitindo que as equipes de segurança corrijam e reduzam qualquer impacto adicional e minimizem o escopo do ataque.

Um ataque de ransomware típico atravessa a rede, chega a uma caixa de entrada de e-mail e, em seguida, ataca o endpoint. Abordar a segurança olhando para cada um deles independentemente coloca as organizações em desvantagem. XDR integra controles de segurança díspares para fornecer ações de resposta automatizadas ou com um clique em todo o estado de segurança da empresa, como desabilitar o acesso do usuário, forçar a autenticação multifator em caso de suspeita de comprometimento da conta, bloquear domínios de entrada e hashes de arquivo e muito mais - tudo por meio de regras personalizadas escritas por o usuário ou pela lógica embutida no mecanismo de resposta prescritiva.

Com um único pool de dados brutos compreendendo informações de todo o ecossistema, o XDR permite uma detecção e resposta mais rápida, profunda e eficaz de ameaças do que o EDR, coletando e agrupando dados de uma ampla gama de fontes.

Essa visibilidade abrangente leva a vários benefícios, incluindo:

  • Reduzindo o tempo médio de detecção (MTTD) correlacionando as fontes de dados.
  •  Reduzindo o tempo médio de investigação (MTTI), acelerando a triagem e reduzindo o tempo de investigação e o escopo.
  • Reduzindo o tempo médio de resposta (MTTR), permitindo uma automação simples, rápida e relevante.
  • Melhorando a visibilidade de toda a área de segurança.

Além disso, graças à IA e à automação, o XDR ajuda a reduzir a carga de trabalho manual dos analistas de segurança. Uma solução XDR pode detectar ameaças sofisticadas de forma proativa e rápida, aumentando a segurança ou a produtividade da equipe SOC e retornando um grande aumento no ROI para a organização.
SentinelOne Singularity XDR

Fonte

 

Mais Recentes
OT ajuda com processos, dispositivos e infraestrutura
Brasiline
18 de abril de 2024
Sete em cada dez empresas de OT planejam implementar a segurança de OT no âmbito do diretor de segurança da […]
SASE Unificado: A Terceira Era da Segurança de Perímetro
Brasiline
15 de abril de 2024
Não deve ser surpresa que os três maiores mercados de cibersegurança hoje sejam segurança de endpoint, segurança de rede e […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?