مقایسه کسپرسکی XDR ،SIEM ،SOAR

yas 1403/03/26
xdr-vs-siem-vs-soar

بگذارید بفهمیم پشت این حروف کوچک چه خبر است…

SIEM، SOAR، MDR، EDR، EPP، XDR… احساس سردرگمی می کنید؟ گم شدن در جنگلی از مخفف های امنیت سایبری قابل درک است – به همین دلیل است که ما این راهنمای مفید را برای بررسی تفاوت های سه مورد از موارد مهم: SIEM، SOAR و XDR ارائه کرده ایم.

داستان پشت این مخفف ها چیست؟ چرا صنعت این اصطلاحات گیج کننده و همپوشانی را توسعه داده است؟ آیا آنها حتی معنای متمایزی دارند یا فقط ترفندهای بازاریابی هستند؟ شباهت ها و تفاوت ها چیست؟ آیا آنها می توانند یکدیگر را تکمیل کنند یا با هم رقابت می کنند؟ بیا به این ماجراجویی با ما همراه شو! بیایید جنگل مخفف ها و اصطلاحات را هک کنیم و به یک علفزار باز با درک روشن برسیم!

SIEM چیست؟

مدیریت اطلاعات و رخدادهای امنیتی (SIEM) مجموعه ای از ابزارها و خدماتی است که مدیریت رخدادهای امنیتی (SEM) و مدیریت اطلاعات امنیتی (SIM) را در یک پلتفرم واحد ترکیب می کند. SIEM داده های ورود به سیستم را از سراسر زیرساخت فناوری اطلاعات برای موارد استفاده مختلف، جمع آوری، تجمیع، تجزیه و تحلیل و ذخیره می کند.

SIEM چگونه کار می کند؟

اولین خدمات SIEM در سال 2005 با هدف اصلی جمع‌آوری و ذخیره‌سازی سیاهه‌ها و رویدادها از سراسر زیرساخت فناوری اطلاعات یک سازمان – از جمله نقاط پایانی، برنامه‌های کاربردی و دستگاه‌های شبکه – برای اهداف گزارش‌دهی پیشرفته، توسعه یافت. SIEM همبستگی هایی را روی این مجموعه داده اجرا می کند و به دنبال هر الگو یا رویدادی می گردد که ممکن است نشان دهنده رفتار مشکوک باشد و برای مرکز عملیات امنیتی (SOC) هشدار ایجاد کند. تحلیلگران امنیتی به زودی امکان استفاده از این هشدارها را نه تنها برای اهداف انطباق و حکمرانی، بلکه برای شناسایی و توقف پیشگیرانه هر فعالیت مخرب در اکوسیستم دارند.

محدودیت های SIEM

مشکل این بود که خدمات SIEM برای هدف خاص شناسایی و پاسخ به حوادث طراحی نشده بودند. این باعث شد که کار با آنها به دلایل متعددی کمی دشوار شود:

  • هشدارهای زیاد: مجموعه داده عظیمی که توسط SIEM ارائه می شود باید به صورت دستی فیلتر، پردازش و تجزیه و تحلیل شود که برای تحلیلگران امنیتی که در تلاش برای جلوگیری از حملات در یک محیط تهدید با سرعت بالا هستند، راحت نیست.
  • بدون زمینه: برای مقابله با حملات جدید، پیچیده و پیشرفته، تحلیلگران امنیتی به تصویری مبتنی بر زمینه و منسجم از تهدیدات سازمان نیاز دارند، نه جریان‌های داده جداگانه‌ای که توسط SIEM ارائه می‌شود.
  • بسیار منفعل: مسدود کردن فرآیندهای مشکوک، قرنطینه کردن فایل‌ها و سایر قابلیت‌های پاسخگویی در محدوده وظایف آن نیست؛ این اساساً یک ابزار تحلیلی منفعل است. متخصصان امنیتی سعی کرده‌اند با اضافه کردن ابزارهای اضافی بر روی SIEM یا توسعه نسل‌های جدید با پلاگین‌های یادگیری ماشینی و تجزیه و تحلیل رفتاری، این مشکلات را حل کنند. اما تقاضا برای ابزاری که هشدارهای با کیفیت بهتر ارائه دهد و فرآیندهای خودکار را سریع‌تر تسهیل کند، همچنان وجود دارد.

SOAR چیست

ابزارهای هماهنگی امنیتی و پاسخ خودکار (SOAR) در سال ۲۰۱۵ برای رفع برخی از نقص‌های ذکر شده در سیستم‌های SIEM ظهور کردند. پلتفرم‌های SOAR داده‌ها را از منابع مختلفی در سراسر زیرساخت، از جمله سیستم‌های مدیریت و پلتفرم‌های اطلاعات تهدید، جمع‌آوری می‌کنند و تحلیل اولویت‌دار ارائه می‌دهند. سپس تیم‌های امنیتی می‌توانند با استفاده از ادغام SOAR با یک اکوسیستم ابزارهای امنیتی متصل به API، پاسخ‌های خودکار چند مرحله‌ای و بین راه‌حلی به تهدیدات ورودی تنظیم و پیکربندی کنند.

SOAR چگونه کار می‌کند؟

ابزارهای SOAR خودکارسازی انجام می‌دهند. در حالی که این ابزارها بیشتر به دلیل توانایی خود در خودکارسازی فرآیندهای پاسخ به حادثه شناخته شده‌اند، اما آن‌ها در واقع می‌توانند طیف گسترده‌ای از گردش کارها را خودکار کنند،

 از جمله اسکن آسیب‌پذیری، تحلیل سیاهه، مدیریت دسترسی کاربر، اولویت‌بندی تهدیدات و موارد دیگر. آنها این کار را با استفاده از “پلی‌بوک” انجام می‌دهند – مجموعه قوانین از پیش پیکربندی شده که توسط رویدادهای خاص فعال می‌شوند و به سیستم می‌گویند که در یک گردش کار خاص چه اقداماتی باید انجام شود. اکثر راه‌حل‌های SOAR صدها پلی‌بوک آماده برای استفاده را ارائه می‌دهند که رایج‌ترین وظایفی را که تیم‌های SOC با آن‌ها مواجه هستند را پوشش می‌دهند. سپس تیم‌ها می‌توانند پلی‌بوک‌های خود را برای خودکارسازی سایر فرآیندهای تکراری خاص‌تری که ممکن است داشته باشند، پیکربندی کنند.

سپس، آن‌ها هماهنگ‌سازی انجام می‌دهند. در حالی که خودکارسازی به اجرای ماشینی وظایف فردی در یک گردش کار واحد اشاره دارد، هماهنگ‌سازی به هماهنگی چندین ابزار و فرآیند مجزا به یک گردش کار بزرگتر اشاره دارد و تمام داده‌های مرتبط را در یک پلتفرم واحد برای اطلاعات تلفیقی و قابل اقدام جمع‌آوری می‌کند.

ارتباط بین SIEM و SOAR

به طور معمول، یک SIEM همراه با ابزارهای SOAR در یک رابطه شبیه دستیار-مدیر استفاده می‌شود: SIEM تمام سیاهه‌ها را جمع‌آوری می‌کند، آن‌ها را برای یافتن هشدارها با هم مرتبط می‌کند و این اطلاعات را در اختیار SOAR قرار می‌دهد که سپس می‌تواند در اقدامات پاسخگویی پیشگام شود.

همه چیز عالی به نظر می رسد، درسته؟

موضوع این است که حفظ یک پلتفرم SOAR با پیکربندی مناسب که با ابزارهای دیگر ادغام می شود، نیازمند تلاش مداوم یک SOC بسیار ماهر و بالغ است – منبعی که بسیاری از سازمان ها در حال حاضر با توجه به شکاف فعلی مهارت های امنیت سایبری ندارند. بدون چنین نگهداری ماهر و هوشیار، تحلیلگران SOAR ممکن است در نهایت با تعداد زیادی هشدار کم اهمیت، موارد مثبت کاذب و مجموعه داده ای به طور کلی غیرقابل درک به دلیل تمام ابزارهای مختلف و جداگانه ای که به پلتفرم تغذیه می شوند، مواجه شوند – دقیقاً همان چیزی که آنها سعی در اجتناب از آن داشتند.

XDR چیست؟

XDR یک راه حل امنیتی نصبی یا ابری است که به طور کلی در دو دسته قرار می گیرد: بومی و ترکیبی. XDR بومی مجموعه ای یکپارچه از ابزارها از یک فروشنده واحد است، در حالی که XDR ترکیبی سایر راه حل های شخص ثالث را در اکوسیستم شما ادغام می کند. اصطلاح “XDR” برای اولین بار در سال 2018 استفاده شد، با “X” مخفف “eXtended” (گسترش یافته): XDR فراتر از ابزارهای سنتی تشخیص، پاسخ و محافظت از نقطه نهایی (EDR و EPP) با جمع آوری و همبستگی داده ها از لایه های امنیتی متعدد، از جمله ایمیل، ابر و شبکه، برای ارائه حفاظت جامع در کل زیرساخت فناوری اطلاعات عمل می کند.

بنابراین، این یک پلتفرم واحد است که طیف وسیعی از ابزارها را هماهنگ می کند و از یادگیری ماشینی و اتوماسیون برای کمک به تیم های امنیتی برای محافظت از کل اکوسیستم امنیتی استفاده می کند … کمی شبیه SOAR به نظر نمی رسد؟ اما برخی تفاوت های اساسی وجود دارد. بیایید نگاهی بیندازیم…

XDR در مقابل SOAR: تفاوت چیست؟

  1. تمرکز بر بازرسی نقطه نهایی: راه حل های XDR بر داده های نقطه پایانی و بهینه سازی متکی هستند – این بدان معناست که تشخیص و پاسخ به حادثه یک ویژگی طراحی مرکزی است که به آنها قابلیت های تجزیه و تحلیل پیشرفته ای می دهد که ابزارهای SOAR به طور معمول فاقد آن هستند. ابزارهای XDR در تشخیص تهدیدات ناشناخته و حملات Zero-days استاد هستند و از هوش مصنوعی قدرتمند، الگوریتم های یادگیری ماشینی و اطلاعات تهدید برای محافظت از سازمان فراتر از مرزهای آن استفاده می کنند. از طرف دیگر، ابزارهای SOAR می توانند طیف وسیع تری از موارد استفاده را ارائه دهند، زیرا می توانند هر فرآیندی را در سراسر زیرساخت – نه فقط پاسخ به حادثه – تنظیم و خودکار کنند.
  2. XDR به عنوان یک SOAR ساده: XDR را می توان به عنوان چیزی شبیه SOAR-lite در نظر گرفت – یک رابط کاربری ساده که پاسخ های خودکار یک کلیک را برای تهدیدات و هشدارهای ورودی ارائه می دهد. این می تواند برای سازمانی که منابع لازم برای حفظ پیچیدگی یک پلتفرم SOAR با پیکربندی مناسب را ندارد، بسیار راحت تر باشد.
  3. یکپارچه سازی روان: XDR یکپارچه سازی روان بین محصولات را امکان پذیر می کند – چه در سراسر مجموعه ابزارهای یک فروشنده و چه محصولات شخص ثالث، XDR در قابلیت همکاری یکپارچه برتری دارد. ابزارهای SOAR اغلب در تلاش برای ادغام تمام ابزارهای جداگانه با مشکل مواجه می شوند.

 XDR این مشکلات را برای پاسخ کارآمد و همه جانبه به تهدیدات از بین می برد.

آیا XDR جایگزین SIEM و SOAR خواهد شد؟

هنوز در مورد این موضوع تصمیم نهایی گرفته نشده است، زیرا XDR یک فناوری نسبتاً جدید است که به طور مداوم در حال توسعه است. در حال حاضر، اکثر کارشناسان یک رویکرد یکپارچه را توصیه می کنند، زیرا هر راه حل مزایایی را ارائه می دهد که مکمل دیگری است:

  • SIEM – SIEM دارای موارد استفاده ای فراتر از تشخیص تهدید است، مانند مدیریت سیاهه، انطباق و تجزیه و تحلیل داده های غیرمرتبط با تهدید.
  • SOAR – قابلیت سفارشی سازی عالی پلی‌بوک‌های SOAR برای هماهنگ‌سازی و خودکارسازی فرآیندها در سراسر زیرساخت سازمان مفید است.
  • XDR – زمانی که صحبت از شناسایی و پاسخ به تهدیدات می شود، تجزیه و تحلیل پیشرفته راه حل XDR حفاظت پیشرفته ای را ارائه می دهد که بی نظیر است.

به دنبال راه حلی امتحان شده و انعطاف پذیر برای کارشناسان خود هستید؟

راه حل امنیتی تخصصی کسپرسکی، XDR مبتنی بر راه حل EDR ابری، به سازمان شما دید و عملکرد بهتری برای تشخیص مبتنی بر هوش مصنوعی و منطق پاسخ خودکار در سراسر نقاط نهایی و شبکه ارائه می دهد و طیف گسترده ای از سناریوهای خودکار پاسخ به حادثه را تسهیل می کند. فناوری پیشرفته داخلی پلتفرم برای تشخیص و تجزیه و تحلیل با اطلاعات تهدید پیشرو در جهان تکمیل می شود.

معماری یکپارچه Kaspersky XDR مدیریت متمرکز را از یک کنسول وب واحد فراهم می کند.

بدون دیدگاه