XDR, SIEM und SOAR im Vergleich

In einem aktuellen Blog-Artikel schrieb Forrester-Analystin Allie Mellen, dass es bis vor Kurzem

„keinen glaubwürdigen und neutralen Erklärungsansatz dafür gab, was XDR ist und was es von einer Sicherheitsanalyse-Plattform unterscheidet. Dies führte bei den Kunden zu Irritationen und dazu, dass sie XDR als bloßes Marketing-Schlagwort für Cybersicherheit abtun.“

Was ist also XDR? Kann es SIEM und SOAR ersetzen? Worauf sollten Unternehmen bei einer XDR-Lösung achten? In diesem Artikel beantworten wir diese und weitere häufig gestellte Fragen, damit sich Sicherheitsexperten im komplexen und hart umkämpften Markt für Lösungen besser zurechtfinden können. Bevor wir jedoch auf die Besonderheiten dieser Systeme eingehen, beantworten wir zunächst einige grundlegende Fragen:

• Was ist XDR?
• Was ist ein SIEM-System?
• Was ist SOAR?

Was ist XDR?

Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist die Weiterentwicklung von endpunktbasierter Detektion und Reaktion (Endpoint Detection and Response, EDR). XDR verfolgt bei der Erkennung und Abwehr von Bedrohungen einen ganzheitlichen Ansatz und vereinfacht die Erfassung und Analyse von Sicherheitsdaten. Zudem optimiert XDR die Präventions- sowie Behebungsabläufe in der gesamten Sicherheitsumgebung eines Unternehmens. Dank einer zentralen Konsole für Bedrohungsdaten kann das Sicherheitsteam mühelos verborgene und hochentwickelte Bedrohungen aufdecken sowie komplexe mehrstufige Reaktionsmaßnahmen für das gesamte Sicherheitstechnologiepaket automatisieren. XDR wird häufig in zwei Kategorien eingeteilt: offenes XDR und natives XDR.

XDR-Funktionen:

• Erfassung, Korrelation und Analyse der Daten von Endgeräten, Cloud-Workloads, Netzwerken und E-Mails mittels hochentwickelter Automatisierungs- und KI-Tools (künstliche Intelligenz)
• Priorisierung von Daten und Bereitstellung von Erkenntnissen in einem normalisierten Format über eine zentrale Konsole
• Koordinierung isolierter Sicherheitstools, indem die Sicherheitsanalyse, die Untersuchung und die Behebung in einer konsolidierten Konsole einheitlich zusammengefasst und optimiert werden
• Kann im Rahmen einer verwalteten Lösung Zugriff auf das Know-how erfahrener Experten aus den Bereichen Bedrohungssuche, Threat Intelligence und Analysen umfassen

Folglich trägt XDR zur erheblichen Verbesserung der Einblicke in Bedrohungen, Beschleunigung von Sicherheitsabläufen und Senkung der Gesamtbetriebskosten bei. Zudem wird damit die ständige Belastung der Sicherheitsteams verringert.

Was ist ein SIEM-System?

Sicherheitsinformations- und Ereignismanagement (SIEM) ist ein Paket aus Tools und Services, das Funktionen für Sicherheitsereignismanagement (SEM) und Sicherheitsinformationsmanagement (SIM) in sich vereint. SIEM ermöglicht Analysten, Protokoll- und Ereignisdaten zu überprüfen, Bedrohungen nachzuvollziehen und entsprechende Schutzvorkehrungen zu treffen sowie Protokolldaten abzurufen und in Berichten zusammenzustellen.

SIEM-Funktionen:

• Erfassung von Protokolldaten aus dem gesamten Unternehmen, Nutzung von Daten zur Identifizierung, Kategorisierung sowie Analyse von Zwischenfällen und Ereignissen
• Einblicke in schädliche Aktivitäten durch Heranziehen von Daten aus allen Bereichen einer Umgebung, darunter alle Netzwerkanwendungen sowie Hardware
• Zusammenführung aller Daten in einer zentralen Plattform
• Nutzung von Daten zur Erstellung von Warnungen und Berichten sowie zur Unterstützung der Incident Response

SIEM ermöglicht Unternehmen, zu jeder Zeit Daten aus allen Netzwerkanwendungen und der Hardware zu analysieren. Dadurch können potenzielle Sicherheitsbedrohungen erkannt werden, bevor diese die Gelegenheit haben, die Geschäftsabläufe zu stören.

Was ist SOAR?

Security Orchestration, Automation and Response (SOAR) bezeichnet eine Reihe von Softwareprogrammen, die zur Stärkung der Cybersicherheitslage von Unternehmen entwickelt wurden. Eine SOAR-Plattform ermöglicht Sicherheitsanalysten, Daten aus verschiedenen Quellen zu überwachen, einschließlich Sicherheitsinformations- und Managementsystemen sowie Bedrohungsanalyse-Plattformen.

SOAR-Funktionen:

• Erfassung von Bedrohungsinformationen, Automatisierung typischer Reaktionen und Triagierung komplexer Bedrohungen, um die Notwendigkeit menschlicher Eingriffe zu minimieren
• Vereinigung von drei Softwarelösungen – Bedrohungs- und Schwachstellenverwaltung, Reaktion auf Sicherheitszwischenfälle sowie Automatisierung von Sicherheitsabläufen – zur Stärkung und Optimierung der Sicherheitsposition
• Nutzung von manuellen Eingriffen durch Menschen sowie Machine-Learning-Technologie, um eingehende Sicherheitsdaten zu analysieren und Aktionen zur Reaktion auf Vorfälle zu priorisieren

Der Zweck einer SOAR-Plattform ist die Erfassung bedrohungsbezogener Daten und die Automatisierung der Reaktion auf Bedrohungen. Mit einer SOAR-Plattform kann Ihr Sicherheitsteam die Effizienz und Reaktionszeit verbessern.

Was sind die entscheidenden Unterscheide zwischen SIEM, SOAR und XDR?

SIEM ist primär ein Tool zur Protokollerfassung, das Compliance, Datenspeicherung sowie Analysen unterstützen soll. Funktionen zur Sicherheitsanalyse werden auf SIEM-Lösungen häufig nur aufgesetzt. Zudem können damit Bedrohungen nur dann ordnungsgemäß identifiziert werden, wenn eine zusätzliche Sicherheitsanalysefunktion ausgeführt wird, die auf einem enormen Datensatz basiert.

Wie oben erwähnt, enthält SOAR SIEM-Funktionen zur Orchestrierung, Automatisierung und Reaktion und ermöglicht die Koordinierung mehrerer Sicherheitstools. Allerdings sind mit den bidirektionalen Verbindungen bereits alle Vorteile von SOAR aufgezählt. SOAR ist zwar eine wertvolle Technologie, doch sie kann die Herausforderungen bei der Analyse großer Datenmengen nicht lösen. Zudem kann SOAR Daten und Systeme nicht allein schützen.

XDR wurde entwickelt, um die durch SIEM und SOAR entstandene Lücke mithilfe eines völlig anderen Ansatzes zu schließen, der auf Endgerätedaten und Optimierung beruht. XDR besitzt hochentwickelte Analysefunktionen, die Unternehmen ermöglichen, sich auf die Ereignisse mit der höchsten Priorität zu konzentrieren und schnell zu reagieren.

Häufige Fragen zu SIEM, SOAR und XDR

Welche Beziehung besteht zwischen SIEM und SOAR?

In vielen Fällen werden SOAR und SIEM zusammen eingesetzt, da sich diese Plattformen ergänzen und zusammen als Teil eines zweistufigen Prozesses zur Verbesserung der allgemeinen Sicherheitsabläufe beitragen können.

1. Der Zweck einer SIEM-Software-Lösung besteht innerhalb des Bereichs der Cybersicherheit ausschließlich in der Erfassung und dem Versand von Warnungen an das Sicherheitsteam, das dann die entsprechenden Untersuchungen durchführt.
2. Das SOAR-Tool verwendet Daten zu Sicherheitsproblemen, um die Reaktion zu automatisieren, SOAR nutzt außerdem künstliche Intelligenz, um ähnliche zukünftige Bedrohungen vorherzusagen und darauf zu reagieren.

SOAR und SIEM haben im Grunde die gleiche Beziehung wie ein Assistent und ein Manager. Die SIEM-Lösung erfasst und korreliert Protokolle, um Ereignisse zu ermitteln, die einer Warnung bedürfen. Das SOAR-Tool kann vom SIEM-Tool Daten erhalten und dann Lösungen erarbeiten.

Kurz gesagt verfügen SIEM-Plattformen über Protokoll-Repository- und Analysefunktionen, die SOAR-Plattformen in der Regel nicht bieten. SOAR wiederum besitzt Reaktionsfunktionen, die SIEM nicht hat. Ohne SOAR müssten Sicherheitsteams mit verschiedenen Schnittstellen außerhalb der SIEM-Lösung arbeiten, um die vom SIEM produzierten Daten und Einblicke verwerten zu können.

Ist XDR ein Ersatz für SIEM und SOAR?

Kurz gesagt: nein. XDR bietet Unternehmen zwar neue Sicherheitsfunktionen und einen besseren Schutz, kann jedoch SIEM oder SOAR nicht vollständig ersetzen.

XDR kann SIEM nicht ersetzen, da SIEM auch Anwendungsszenarien über die Bedrohungserkennung hinaus abdeckt. Darunter fallen beispielsweise Protokollverwaltung, Compliance sowie die Analyse und Verwaltung von Daten, die nichts mit Bedrohungen zu tun haben. Häufig kann XDR zwar bedrohungsbezogene Anwendungsszenarien erfüllen und SIEM in dieser Hinsicht ersetzen; dennoch gibt es andere Anforderungen in Unternehmen, die vom SIEM erfüllt werden müssen.

SOAR hingegen bietet wertvolle Orchestrierungsfunktionen, die das Sicherheitsteam bei der Optimierung von Ressourcen und Priorisierung von Aktivitäten unterstützen. In der Regel besitzt eine XDR-Lösung keine dieser Funktionen, weshalb das SOAR-System beibehalten und in die XDR-Lösung integriert werden sollte.

Benötigt mein Unternehmen alle drei Tools: SIEM, SOAR und XDR?

Ja – allerdings nicht unbedingt nur zu Sicherheitszwecken. Im Verlauf dieses Artikels sind wir auf die verschiedenen Sicherheitsfunktionen von SIEM, SOAR und XDR eingegangen und haben erläutert, wie diese Tools gemeinsam eine äußerst umfassende und robuste Sicherheitslösung bilden und zudem weitere Anwendungsszenarien abdecken. Wenn Unternehmen eine dieser drei Funktionen ignorieren, wächst die Gefahr von Kompromittierungen und anderen Sicherheitsereignissen. Außerdem können andere geschäftliche Anforderungen zu kurz kommen.

Die Vorteile von CrowdStrike Falcon® Insight XDR

Obwohl XDR als das neueste und beste Sicherheitstool angepriesen wird, herrscht auf dem Markt und sogar unter Analysten immer noch sehr viel Unklarheit darüber, was eine XDR-Lösung wirklich ausmacht.

CrowdStrike Falcon® Insight XDR vereint erstklassige Bedrohungssuche, Machine Learning (ML), künstliche Intelligenz (KI) und Angriffsindikatoren (IOAs) mit Drittanbieter-Datenquellen, um Ereignisse zu korrelieren und Bedrohungen in Echtzeit zu erkennen.

CrowdStrike Falcon® Insight XDR bietet Sicherheitsteams folgende Vorteile:

• Einheitliche Sicherheitsdaten für Erkennung und Reaktion: CrowdStrike Falcon® Insight XDR nutzt externe Daten (z. B. aus Netzwerksicherheit, E-Mail-Sicherheit, Websicherheit, Cloud-Sicherheit und CASB (Cloud Access Security Broker)) von Drittanbietern (z. B. CrowdXDR Alliance-Partner) und korreliert diese mit den Daten der CrowdStrike Security Cloud, um die Echtzeit-Bedrohungserkennung, Untersuchung, Reaktion und Bedrohungssuche zu optimieren.
• Die richtigen Antworten, und zwar schnell: CrowdStrike Falcon® Insight XDR beschleunigt dank einer zentralen Konsole die Triagierung und Untersuchung für Analysten im Sicherheitskontrollzentrum (Security Operations Center, SOC) und für Threat Hunter. Die Lösung ermöglicht die präzise Priorisierung von Warnungen, eine flexible Suchaufgabenplanung, die Anpassung von Erkennungen und bietet vollständigen Angriffskontext sowie eine interaktive Visualisierung von Diagrammen.
• Umwandlung von XDR-Einblicken in Maßnahmen: Um die Reaktionsmaßnahmen für alle Sicherheits-Workflows zu koordinieren und zu automatisieren, wurde das SOAR-Framework Falcon Fusion direkt in die Falcon-Plattform integriert. Das Sicherheitsteam kann die Effizienz der SOC- und IT-Abläufe durch die Erstellung von Funktionen zur Echtzeit-Benachrichtigung und Reaktion steigern. Zudem stehen anpassbare Trigger zur Verfügung, die auf Erkennungs- und Vorfallkategorien basieren.
• Gesteigerte Effizienz im Sicherheitskontrollzentrum: CrowdStrike Falcon® Insight XDR korreliert automatisch und bietet hochwertige Erkennungsdaten aus dem gesamten Sicherheitspaket. Die Lösung sorgt für eine deutlich schnellere Untersuchung und Bedrohungssuche, da sie eine gemeinsame Suchoberfläche für die CrowdStrike Security Cloud bietet.
• Höhere Rendite vorhandener Sicherheitsinvestitionen: CrowdStrike Falcon® Insight XDR deckt verwertbare Einblicke aus Daten auf, die vorher in isolierten Sicherheitsprodukten des gesamten IT-Lösungspakets verborgen waren.

Weitere Informationen zu den Alleinstellungsmerkmalen von CrowdStrike Falcon® Insight XDR finden Sie auf unserer Produktseite zu CrowdStrike Falcon® Insight XDR und in unserem Datenblatt.