XDR x SIEM x SOAR

Allie Mellen, analista da Forrester, conta em uma recente publicação no blog que, até pouco tempo atrás:

"Não existia uma explicação confiável e imparcial sobre o que é XDR e como ela se diferencia de uma plataforma de análise de segurança, o que gerava confusão e descaso por parte dos clientes, que consideravam a XRD nada além do que mais uma palavra da moda do marketing de cibersegurança.

Então, o que é XDR? A XDR substitui o SIEM e a SOAR? O que as organizações devem procurar em uma solução de XDR? Nesta publicação, respondemos a essas perguntas comuns e a várias outras para ajudar os profissionais de segurança a navegar por um panorama de soluções complexo e concorrido. Mas antes de explorarmos as complexidades desses sistemas, vamos começar respondendo a algumas perguntas básicas:

• O que é XDR?
• O que é SIEM?
• O que é SOAR?

O que é XDR?

Detecção e Resposta Estendidas (XDR) é a próxima evolução da detecção e resposta de endpoint (EDR). A XDR adota uma abordagem holística na detecção e resposta a ameaças. Essa abordagem otimiza a ingestão e a análise de dados de segurança, bem como os fluxos de trabalho de prevenção e remediação em toda a stack de segurança da organização. Com um console unificado para visualizar e agir nos dados da ameaça, a XDR permite que as equipes de segurança descubram facilmente ameaças ocultas e avançadas e automatizem até mesmo complexas respostas em várias etapas em todas as stacks de tecnologia de segurança. A XDR geralmente é categorizada em dois tipos: XDR aberta e XDR nativa.

Funções da XDR:

• Coletar, correlacionar e analisar dados de endpoints, workloads na nuvem, redes e e-mail, por meio de um conjunto de ferramentas de automação avançada e IA (inteligência artificial)
• Priorizar dados e gerar insights para as equipes de segurança em um formato normalizado apresentado em um único console
• Coordenar ferramentas de segurança isoladas, unificando e simplificando a análise, investigação e remediação de segurança em um console unificado
• Quando comprado como uma solução gerenciada, o produto pode incluir o acesso a especialistas com experiência em investigação de ameaças, inteligência de ameaças e análise

Como resultado dessas funções, a XDR melhora significativamente a visibilidade de ameaças, acelera as operações de segurança, reduz o TCO e alivia a sobrecarga sempre imposta à equipe de segurança.

O que é SIEM?

Gerenciamento e correlação de eventos de segurança (SIEM) é um conjunto de ferramentas e serviços que combina capacidades de gerenciamento de eventos de segurança (SEM) e de gerenciamento de informações de segurança (SIM) para que analistas possam revisar dados de eventos e de log, compreender ameaças e se preparar para enfrentá-las e recuperar e reportar dados de log.

Funções do SIEM:

• Coletar dados de toda a organização e utilizá-los dados para identificar, categorizar e analisar incidentes e eventos.
• Fornecer visibilidade sobre as atividades mal-intencionadas extraindo dados de cada parte do ambiente, incluindo todos os hardwares e aplicações de rede.
• Agregar todos os dados em uma única plataforma centralizada.
• Utilizar os dados para produzir alertas, gerar relatórios e dar suporte à resposta a incidentes (IR).

O SIEM permite que as organizações analisem dados de todos os hardwares e aplicações de rede a qualquer momento. Isso ajuda as organizações a reconhecer possíveis ameaças de segurança antes de que elas possam interromper as operações de negócios.

O que é SOAR?

Orquestração, automação e resposta de segurança (SOAR) é um conjunto de programas de software desenvolvidos para fortalecer a postura de cibersegurança de uma organização. Uma plataforma SOAR permite que a equipe analista de segurança monitore dados de segurança de diversas fontes, como sistemas de gerenciamento e informações de segurança e plataformas de inteligência de ameaças.

Funcionalidades da SOAR:

• Coletar informações de ameaça, automatizar respostas de rotina e realizar a triagem de ameaças mais complexas, minimizando a necessidade de intervenção humana.
• Unificar três soluções de software — gerenciamento de ameaças e vulnerabilidades, resposta a incidentes (IR) de segurança e automação de operações de segurança — para fortalecer e otimizar a postura de segurança.
• Empregar tanto a intervenção manual humana quanto a tecnologia de machine learning (ML) para analisar dados de segurança recebidos e priorizar ações de resposta a incidentes (IR).

A meta geral da plataforma SOAR é coletar dados das ameaças e automatizar as respostas a elas. Sua equipe de segurança pode aumentar a eficiência e melhorar o tempo de resposta usando uma plataforma SOAR.

Quais são as principais diferenças entre SIEM, SOAR e XDR?

SIEM é principalmente uma ferramenta de coleta de logs que oferece suporte para conformidade, armazenamento de dados e análise. Análise de segurança é uma capacidade que tem sido amplamente integrada às soluções de SIEM e que não é capaz de identificar ameaças adequadamente sem executar uma função analítica de segurança separada em um enorme conjunto de dados.

Como vimos acima, a SOAR incorpora capacidades de orquestração, automação e resposta ao SIEM e facilita a coordenação de ferramentas de segurança distintas. No entanto, a SOAR se limita à conectividade bidirecional. Embora tenha um grande valor, a SOAR não resolve o desafio da análise de big data nem protege dados ou sistemas por conta própria.

A XDR surgiu para preencher a lacuna deixada pelo SIEM e pela SOAR, por meio de uma abordagem diferenciada que se baseia em dados de endpoint e na otimização. A XDR tem avançadas capacidades de análise que permitem à organização se concentrar nos eventos de maior prioridade e responder rapidamente a eles.

Perguntas frequentes sobre SIEM, SOAR e XDR

Qual é a relação entre SIEM e SOAR?

Em muitos casos, as soluções SOAR e SIEM são usadas em conjunto. As duas plataformas são complementares e podem trabalhar juntas em suas operações gerais de segurança, como parte de um processo que ocorre em duas etapas:

1. No contexto da cibersegurança, a única finalidade de uma solução de software SIEM é coletar e enviar alertas para que a equipe de segurança os investigue.
2. A ferramenta SOAR utiliza dados sobre problemas de segurança para automatizar a resposta. A SOAR também utiliza inteligência artificial para prever e responder a futuras ameaças semelhantes.

Podemos pensar na relação entre SIEM e SOAR como um assistente e um gerente. A solução SIEM coleta e correlaciona logs para identificar aqueles que se qualificam como um alerta. A SOAR pode receber dados do SIEM e assumir o controle para prosseguir com as resoluções.

Resumindo: o SIEM oferece capacidades de repositório e análise de log que, geralmente, as plataformas SOAR não oferecem. A SOAR tem capacidades de resposta que o SIEM não tem. Sem a SOAR, as equipes de segurança precisariam de diversas interfaces fora de uma solução de SIEM para trabalhar nos dados e insights gerados pelo SIEM.

A XDR substitui o SIEM e a SOAR?

A resposta é "não". Embora a XDR ofereça às organizações novas capacidades de segurança e proteção aprimorada, ela não pode e nem deve substituir completamente o SIEM e a SOAR.

A XDR não substitui o SIEM porque o SIEM tem casos de uso fora do escopo da detecção de ameaça, como gerenciamento de log, conformidade e análise e gerenciamento de dados não relacionados a ameaças. Apesar de a XDR atender a casos de uso centrados em ameaças e substituir o SIEM nesse sentido, a organização ainda terá outras necessidades que o SIEM precisará atender.

A plataforma SOAR oferece capacidades valiosas de orquestração que ajudam a equipe de segurança a otimizar recursos e priorizar atividades. Geralmente, uma solução XDR não tem essas capacidades, por isso, é importante manter o sistema SOAR e integrá-lo à XDR.

Minha organização precisa das três ferramentas, SIEM, SOAR e XDR?

Sim, mas não necessariamente apenas para fins de segurança. Neste artigo, exploramos as diferentes capacidades de segurança das ferramentas SIEM, SOAR e XDR e destacamos como elas trabalham juntas para oferecer a solução de segurança mais completa e robusta, bem como atender a outros casos de uso. Se ignorarem uma dessas três capacidades críticas, as organizações correm o risco de sofrer ataques e outros eventos de segurança ou de descumprir outros requisitos de negócios.

Por que o CrowdStrike Falcon® Insight XDR se destaca

Embora a XDR tenha sido anunciada como a melhor e mais moderna ferramenta de segurança, existe bastante confusão no mercado e até mesmo entre os especialistas sobre o que constitui uma solução XDR.

O CrowdStrike Falcon® Insight XDR une investigação de ameaças de última geração, machine learning (ML), inteligência artificial (IA) e indicadores de ataque (IOAs) com fontes de dados de terceiros para correlacionar eventos e fornecer detecções em tempo real.

O CrowdStrike Falcon® Insight XDR permite às equipes de segurança:

• Unificar dados de segurança de detecção e resposta. O CrowdStrike Falcon® Insight XDR usa dados de terceiros (incluindo segurança de rede, segurança de e-mail, segurança da Web, segurança na nuvem e broker de segurança de acesso à nuvem [CASB]) de fabricantes, como CrowdXDR Alliance, e os correlacionam aos dados da Segurança em nuvem da CrowdStrike para otimizar detecção, investigação e resposta a ameaças em tempo real.
• Obter as respostas corretas — rapidamente. O CrowdStrike Falcon® Insight XDR acelera a triagem e a investigação para analistas e times de threat hunters do Centro de Operações de Segurança (SOC, na sigla em inglês), com um console central para priorização precisa de alertas, flexível programação de pesquisas e detecção personalizada, contexto completo do ataque e visualização em um gráfico interativo.
• Transformar os insights da XDR em ação. Para orquestrar e automatizar a resposta nos fluxos de trabalho de segurança, o Falcon Fusion, um framework de SOAR, é integrado nativamente à plataforma Falcon. As equipes de segurança podem elevar as eficiências do SOC e de TI integrando capacidades de notificação e resposta em tempo real, bem como acionadores personalizáveis baseados em categorizações de detecção e incidentes.
• Maior eficiência das operações do SOC. O CrowdStrike Falcon® Insight XDR automaticamente correlaciona e fornece dados de detecção de alta qualidade em toda a stack de segurança. A solução acelera drasticamente a investigação e a busca de ameaças por meio de uma interface de pesquisa comum disponibilizada diretamente pela Segurança em nuvem da CrowdStrike.
• Aumentar o retorno (ROI) dos investimentos atuais em segurança. O CrowdStrike Falcon® Insight XDR revela insights acionáveis de dados que antes estavam isolados em produtos de segurança separados e desconectado de toda a stack de TI.

Para obter mais informações sobre os diferenciais do CrowdStrike Falcon® Insight XDR, conheça o produto e baixe nossa data sheet.