XDR, SIEM et SOAR

Dans un récent article de blog, Allie Mellen, analyste chez Forrester, écrivait ce qui suit :

« Jusqu'il y a peu, il n'existait aucune information fiable et objective pour expliquer ce qu'est le XDR et en quoi il diffère d'une plateforme d'analyse de sécurité, ce qui a engendré une certaine confusion et indifférence de la part des clients, qui n'y voyaient qu'un autre terme de cybersécurité à la mode. »

En quoi consiste le XDR ? Remplace-t-il les solutions SIEM et SOAR ? Que doivent attendre les entreprises d'une solution XDR ? Dans cet article, nous répondons à ces questions fréquentes et à d'autres, afin d'aider les professionnels de la sécurité à s'y retrouver dans un paysage complexe et pléthorique de solutions. Mais avant de nous intéresser aux subtilités de ces systèmes, commençons par répondre à quelques questions élémentaires :

• Qu'est-ce que le XDR ?
• Qu'est-ce qu'une solution SIEM ?
• Qu'est-ce qu'une plateforme SOAR ?

Qu'est-ce que le XDR ?

Le XDR (eXtended Detection and Response) représente la dernière évolution des solutions de l'EDR (détection et réponse à incident). Le XDR adopte une approche globale en matière de détection des cybermenaces et d'intervention qui optimise l'assimilation des données de sécurité, l'analyse ainsi que les workflows de prévention et de correction à l'échelle de l'infrastructure de sécurité d'une entreprise. Basé sur une console unique capable de visualiser et de traiter les données sur les menaces, le XDR permet aux équipes de sécurité de détecter facilement des cybermenaces furtives et avancées et d'automatiser les réponses les plus complexes à l'échelle de leur infrastructure technologique de sécurité. Une plateforme XDR peut être de deux types : ouverte ou native.

Fonctionnalités de la technologie XDR :

• Collecte, mise en corrélation et analyse des données des endpoints, des workloads cloud, des réseaux et de la messagerie au moyen d'outils d'intelligence artificielle (IA) et d'automatisation avancée
• Priorisation des données et communication d'informations pertinentes aux équipes de sécurité dans un format normalisé via une console unique
• Coordination des outils de sécurité cloisonnés, et unification et rationalisation des analyses de sécurité, des investigations et des corrections au sein d'une console unique consolidée
• Accès possible à des experts chevronnés, spécialisés en Threat Hunting, en cyberveille et en analyse en cas d'achat d'une solution managée

Grâce à ces fonctions, le XDR améliore considérablement la visibilité sur les cybermenaces, accélère les opérations de sécurité, diminue le coût total de possession et simplifie le perpétuel problème de dotation en personnel de sécurité.

Qu'est-ce qu'une solution SIEM ?

La gestion des événements et des informations de sécurité (SIEM) est un ensemble d'outils et services combinant des fonctionnalités de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM) afin de permettre aux analystes d'examiner les données des logs et des événements, de comprendre les cybermenaces et de s'y préparer, ainsi que de récupérer les données des journaux et d'établir des rapports sur cette base.

Fonctionnalités des solutions SIEM :

• Collecte des données des logs de toute l'entreprise et utilisation de ces données pour identifier, classer et analyser les incidents et les événements
• Visibilité sur les activités malveillantes grâce à l'extraction des données dans les moindres recoins d'un environnement, y compris depuis l'ensemble des applications et du matériel réseau
• Regroupement de toutes les données au sein d'une plateforme centralisée unique
• Exploitation des données pour générer des alertes, créer des rapports et faciliter la réponse à incident

Une solution SIEM permet aux entreprises d'analyser à tout moment les données du matériel et des applications réseau. Cela peut aider les entreprises à reconnaître les cybermenaces potentielles de sécurité avant qu'elles n'aient la possibilité de perturber les opérations de l'entreprise.

Qu'est-ce qu'une plateforme SOAR ?

La solution SOAR (Security Orchestration, Automation and Response) est un ensemble de logiciels développés pour renforcer la posture de cybersécurité d'une entreprise. Une plateforme SOAR permet à une équipe d'analystes en sécurité de surveiller les données de sécurité provenant de diverses sources, notamment des systèmes de gestion des événements et des informations de sécurité (SIEM) et des plateformes de cyberveille.

Fonctionnalités de la technologie SOAR :

• Collecte d'informations sur les cybermenaces, automatisation des réponses de routine et tri des cybermenaces plus complexes, avec pour résultat une diminution du nombre de cas où une intervention humaine est nécessaire
• Regroupement de trois solutions logicielles (gestion des cybermenaces et des vulnérabilités, réponse à incident et automatisation des opérations de sécurité) pour renforcer et optimiser la posture de sécurité
• Recours à la fois à l'intervention humaine et manuelle et à la technologie de Machine Learning pour analyser les données de sécurité entrantes et prioriser les étapes de la réponse à incident

L'objectif global d'une plateforme SOAR est de collecter des données sur les cybermenaces afin d'automatiser les réponses. En s'appuyant sur une plateforme SOAR, votre équipe de sécurité peut améliorer son efficacité et ses délais de réponse.

Quelles sont les principales différences entre SIEM, SOAR et XDR ?

Une solution SIEM est essentiellement un outil de collecte des logs destiné à faciliter la mise en conformité, le stockage de données et leur analyse. L'analyse de sécurité est une fonction qui est généralement greffée sur les solutions SIEM et qui est incapable d'identifier correctement les cybermenaces sans l'exécution d'une fonction distincte d'analyse de sécurité sur des ensembles de données volumineux.

Une plateforme SOAR, comme indiqué ci-avant, intègre des fonctions d'orchestration, d'automatisation et de réponse à la solution SIEM et permet à des outils de sécurité disparates de fonctionner de manière coordonnée. Une plateforme SOAR se limite toutefois à assurer une connectivité bidirectionnelle. Dès lors, malgré son utilité, elle ne résout pas la problématique de l'analyse du Big Data, pas plus qu'elle ne peut protéger à elle seule les données ou les systèmes.

Le XDR a vu le jour pour combler le vide créé par les solutions SIEM et SOAR grâce à une approche très différente, axée sur l'optimisation et les données des endpoints. Le XDR possède des fonctionnalités d'analyse avancées qui permettent à l'entreprise de se concentrer sur les événements prioritaires et d'intervenir rapidement.

Questions fréquentes (FAQ) concernant les technologies SIEM, SOAR et XDR

Quelle est la relation entre les technologies SIEM et SOAR ?

Dans bien des cas, les solutions SIEM et SOAR sont utilisées ensemble. Les deux plateformes sont complémentaires et peuvent fonctionner de concert pour renforcer vos opérations de sécurité globales dans le cadre d'un processus en deux étapes :

1. Dans le contexte de la cybersécurité, une solution logicielle SIEM a pour seul objectif de collecter et d'envoyer des alertes à l'équipe de sécurité pour investigation.
2. L'outil SOAR utilise les données concernant les problèmes de sécurité pour automatiser la réponse. Il recourt également à l'intelligence artificielle pour anticiper les futures cybermenaces similaires et y répondre.

La relation qui les unit est comparable à celle qui lie un assistant et un cadre. La solution SIEM collecte et corrèle les logs pour identifier les événements pouvant être considérés comme des alertes. La plateforme SOAR reçoit des données de la plateforme SIEM, puis prend la direction des opérations de réponse.

En bref, une solution SIEM est dotée de fonctionnalités de référentiel et d'analyse des logs, dont les plateformes SOAR sont dépourvues. En revanche, ces dernières possèdent des fonctions de réponse qui font défaut aux solutions SIEM. Sans plateforme SOAR, les équipes de sécurité devraient utiliser toute une série d'interfaces indépendantes en sus de l'outil SIEM pour pouvoir exploiter et analyser les données et les renseignements générés par la solution SIEM.

Le XDR remplace-t-il les solutions SIEM et SOAR ?

La réponse est non. Si le XDR offre aux entreprises de nouvelles fonctionnalités de sécurité et une protection renforcée, il ne peut (et ne doit pas) se substituer aux solutions SIEM et SOAR.

Le XDR ne peut pas remplacer une solution SIEM dans la mesure où cette dernière ne se limite pas à la détection des menaces et remplit d'autres fonctions, telles que la gestion des logs, la conformité, ainsi que la gestion et l'analyse des données non liées aux cybermenaces. Bien que le XDR puisse généralement exécuter des opérations liées aux cybermenaces et remplacer le SIEM à cet égard, certains besoins d'une entreprise peuvent uniquement être satisfaits par une solution SIEM.

La plateforme SOAR offre quant à elle de précieuses fonctionnalités d'orchestration qui aident l'équipe de sécurité à optimiser les ressources et à prioriser les activités. Comme une solution XDR est généralement dépourvue de ces fonctionnalités, il est important de conserver le système SOAR et de l'intégrer au XDR.

Mon entreprise a-t-elle besoin des trois outils : SIEM, SOAR et XDR ?

Oui, mais pas nécessairement pour des raisons de sécurité uniquement. Dans cet article, nous avons fait le tour des différentes fonctionnalités SIEM, SOAR et XDR, et montré comment ces outils fonctionnent de concert pour offrir la solution de sécurité la plus robuste et complète qui soit, en plus d'effectuer d'autres tâches. En faisant fi de l'une de ces trois fonctionnalités essentielles, les entreprises s'exposent à des compromissions potentielles et autres incidents de sécurité, ou risquent de ne pas être en mesure de respecter d'autres impératifs métier.

Comment CrowdStrike Falcon® Insight XDR excelle

Si le XDR est considéré comme une avancée technologique extraordinaire en matière de sécurité, il règne une certaine confusion au sein du marché, et même parmi la communauté des analystes, quant à ce dont il s'agit.

CrowdStrike Falcon® Insight XDR associe le Threat Hunting, le Machine Learning, l'intelligence artificielle et les indicateurs d'attaque à des sources tierces pour corréler les événements et garantir une détection en temps réel.

CrowdStrike Falcon® Insight XDR offre aux équipes de sécurité les possibilités suivantes :

• Unifier les données de sécurité pour optimiser la détection et l'intervention. CrowdStrike Falcon® Insight XDR utilise les données de sources tierces (y compris celles des solutions CASB [Cloud Access Security Broker], de sécurité réseau, de sécurité de la messagerie, de sécurité du Web et de sécurité du cloud) provenant d'autres fournisseurs, dont les partenaires CrowdXDR Alliance™, et les met en corrélation avec celles de l'architecture de sécurité cloud de CrowdStrike pour optimiser la détection des cybermenaces en temps réel, les investigations, les interventions et le Threat Hunting.
• Obtenir rapidement les bonnes réponses. CrowdStrike Falcon® Insight XDR accélère le tri et les investigations des threat hunters et des analystes SOC (Security Operation Center) en leur offrant, au sein d'une console unique centralisée, une priorisation précise des alertes, une planification flexible des recherches, une détection personnalisée, un contexte complet de l'attaque ainsi qu'un outil de visualisation graphique interactif.
• Transformer les informations XDR en actions. Pour orchestrer et automatiser les réponses dans tous les workflows de sécurité, Falcon Fusion, un cadre SOAR, est intégré de façon native à la plateforme Falcon. Les équipes de sécurité peuvent améliorer l'efficacité du SOC et du service informatique en développant des fonctions de notification et de réponse en temps réel, ainsi que des déclencheurs personnalisables basés sur les catégories d'incidents et de détection.
• Optimiser l'efficacité des opérations SOC. CrowdStrike Falcon® Insight XDR corrèle et fournit automatiquement des données de détection ultrafiables dans toute l'infrastructure de sécurité. Il accélère considérablement les investigations et le Threat Hunting en offrant une interface de recherche commune directement accessible depuis l'architecture de sécurité cloud de CrowdStrike.
• Améliorer la rentabilité des investissements en sécurité existants. CrowdStrike Falcon® Insight XDR extrait des informations exploitables à partir des données jusque-là cloisonnées dans des solutions de sécurité disparates et non intégrées de l'infrastructure informatique.

Pour en savoir plus sur les avantages distinctifs de CrowdStrike Falcon® Insight XDR, consultez notre page produit CrowdStrike Falcon® Insight XDR et téléchargez notre fiche technique.