Inhaltsverzeichnis
Was ist Open XDR?
XDR steht für eXtended (oder Cross Platform) Detection and Response. Ziel ist die Integration unterschiedlicher Tools im gesamten Sicherheits-Stack – EDR, SIEM, Cloud und mehr –, um eine einheitliche, umfassende Sicht auf Bedrohungen zu bieten. So kann Ihr Unternehmen Bedrohungen schneller erkennen, untersuchen und reagieren, um sich zu schützen.
Open XDR (auch als Hybrid-XDR bekannt) unterscheidet sich von nativen oder herstellerspezifischen XDR-Plattformen. Open XDR ist herstellerunabhängig und bietet eine umfassende Integration der besten Tools verschiedener Anbieter. Open XDR kombiniert erweiterte Analysen und praxiserprobte Inhalte mit der vorhandenen, im Feld eingesetzten Technologie, um die Komplexität zu reduzieren, die Transparenz zu erhöhen und das Risikomanagement zu verbessern.
Dieser Inhalt ist Teil einer Serie über XDR.
Open XDR vs. Native XDR
XDR wird hauptsächlich in zwei Typen unterteilt:
- Open XDR– Befasst sich hauptsächlich mit der Integration von Drittanbietern.
- Native XDR– Bietet eine All-in-One-Plattform.
Jeder XDR-Plattformtyp bietet Vorteile für die unterschiedlichen Anwendungsfälle.
Open XDR
Offene XDRs eignen sich für Unternehmen, die in ihrer IT- und Sicherheitsumgebung auf Lösungen verschiedener Anbieter setzen. Anspruchsvollere Sicherheitsprogramme und in der Regel größere Unternehmen mit mehr Ressourcen setzen wahrscheinlich die besten Sicherheitstools verschiedener Anbieter ein. Ein offenes XDR bedeutet, dass die verwendeten Front-End-Sensoren nicht entfernt und ersetzt werden müssen, um Platz für die Walled-Garden-Methode nativer XDRs zu schaffen.
Offene XDRs sind von Natur aus darauf ausgelegt, eine Vielzahl anderer Technologien effizient in ein kohärentes Suchschema zu integrieren. Unternehmen können ihr aktuelles Toolset rationalisieren und erweitern und so deren Wert und Leistung steigern, indem sie ein offenes XDR auf den Sicherheits-Stack aufsetzen, um die Anforderungen an Bedrohungserkennung, -reaktion und -untersuchung zu zentralisieren. Sicherheitsteams können außerdem neue Tools hinzufügen und Elemente verschiedener Anbieter kombinieren und gleichzeitig von ihrem offenen XDR profitieren.
Native XDR
Für Unternehmen mit einer homogeneren IT-Sicherheit und Infrastruktur könnte ein natives XDR-Produkt ausreichend sein. Die Annahme, die durch einen POC überprüft werden sollte, ist, dass ein einzelner Anbieter die Front- und Back-End-Funktionen innerhalb seines Ökosystems effektiver integrieren kann.
Für Unternehmen mit Sicherheitsprodukten eines einzigen Anbieters könnte XDR die naheliegende Wahl sein. Es kann jedoch Lücken in der Tiefe und Abdeckung geben – insbesondere wenn der Anbieter keine wichtigen Erkennungsfunktionen bereitstellt. Ein einzelner nativer XDR-Anbieter kann keine umfassende Sicherheitsabdeckung für alle Angriffsvektoren bieten und verfügt möglicherweise nicht in allen Bereichen über die erforderlichen Fähigkeiten. Der Breach Report 2021 von IBM und Ponemon zeigte, dass für die Behebung einer Sicherheitsverletzung typischerweise Daten von 19 Tools erforderlich waren. 19 geeignete Tools eines einzigen Anbieters zu finden, ist keine leichte Aufgabe.
Darüber hinaus kann es bei diesem Ansatz zu einer Anbieterbindung kommen. Das bedeutet, dass Kunden möglicherweise auf bevorzugte Tools anderer Anbieter verzichten und sich mit denen ihres XDR-Anbieters zufrieden geben müssen. Dies könnte beispielsweise bedeuten, dass Unternehmen ihr EDR komplett ersetzen müssen, um ein natives XDR zu erhalten.
Open XDR vs. SIEM: Lösungen im Vergleich
Security Information and Event Management (SIEM)-Systeme sind die Vorläufer von XDR-Plattformen. Wie XDR sammeln SIEMs Daten aus allen Organisationen und verschiedenen Tools und organisieren anschließend die Protokoll- und Ereignisnutzung für die Bedrohungserkennung, -untersuchung und -reaktion (TDIR). In mancher Hinsicht hat ein SIEM einen breiteren Anwendungsbereich als XDR und umfasst Funktionen wie die langfristige Datenspeicherung und Compliance-Reporting.
In vielen Security Operation Centern (SOCs) ist es unwahrscheinlich, dass XDR SIEM vollständig ersetzen wird. Beide Systeme werden wahrscheinlich nebeneinander existieren und jeweils unterschiedliche Funktionen erfüllen. Im Folgenden erläutern wir die wichtigsten Unterschiede zwischen SIEM und offenem XDR.
| SIEM | Open XDR | |
|---|---|---|
| Domänenabdeckung | Abdeckung mehrerer Domänen, einschließlich Bedrohungserkennung, -untersuchung und -reaktion (TDIR), Berichterstattung, Compliance und zentralisierte Speicherung. | Einzeldomänenabdeckung (TDIR). |
| Designansatz | Für individuelle Anpassungen und „Notfallsituationen“ erstellt. | Konzipiert mit dem Schwerpunkt auf effizientem TDIR. |
| Datenstandort | Geht im Allgemeinen davon aus, dass die Daten im SIEM zentralisiert werden müssen. | Geht grundsätzlich davon aus, dass Daten überall gespeichert werden können und/oder nicht langfristig gespeichert werden müssen. |
| Bereitstellungsmodell | Kann in der Cloud, vor Ort oder beides bereitgestellt werden. | Aus der Cloud bereitgestellt. |
| Lagerung | Bietet einen unendlich skalierbaren Speicher. | Bietet nicht unbedingt eine langfristige Speicherung. |
| Erkennungsansatz | Im Allgemeinen auf korrelationsbasierte Analysen ausgerichtet. | Bietet im Allgemeinen erweiterte Analysen auf Basis maschinellen Lernens. |
| Automatisierungsansatz | Bietet im Allgemeinen Automatisierung, hochflexible Orchestrierung und Playbooks für TDIR- und Nicht-TDIR-Anwendungsfälle. | Bietet im Allgemeinen Automatisierung; vorgefertigtes, anwendungsfallspezifisches TDIR mit präskriptiver Orchestrierung und Playbooks. |
| Marktposition | Ersetzt oder verdrängt im Allgemeinen CLMs, ältere SIEMs und/oder Datenseen. | Erweitert im Allgemeinen CLMs, ältere SIEMs und/oder Datenseen. |
Dieser Vergleich befasst sich nur mit den Unterschieden. Es gibt auch verschiedene technische Gemeinsamkeiten, wie z. B. die offene Integration mit Sicherheitstools, die Langzeitspeicherung, die effiziente Suche und Bedrohungssuche sowie die Cloud-Nativität.
Lesen Sie unsere ausführliche Erklärung zu XDR vs. SIEM.
Open XDR vs. SIEM: 3 technische Unterschiede
Open XDR weist vier wesentliche architektonische Unterschiede zu SIEMs auf.
1. Datennormalisierung und -analyse
Bei XDR werden Daten in einen angereicherten und normalisierten Zustand versetzt, bevor sie in einem Data Lake gespeichert werden. SIEM speichert Daten üblicherweise in ihrer ursprünglichen Form aus den ursprünglichen Protokollen oder Ereignisquellen.
Bei einem XDR werden Korrelation und Erkennung von Warnmeldungen automatisch durch KI gesteuert, während SIEM von Menschen erstellte Korrelationsregeln verwendet, um relevante Ereignisse zu erstellen. Dies erfordert oft spezielle Kenntnisse oder Erfahrungen, die nicht in jedem Team vorhanden sind.
Die Vorverarbeitungsphase von XDR befasst sich mit dem Problem der Datenqualität und -standardisierung, die für den Aufbau und die Aufrechterhaltung sinnvoller KI erforderlich ist. Im Sicherheitsbereich bedeutet dies, dass die Daten zentralisiert, angereichert und normalisiert werden müssen, um die Datenkomplexität zu minimieren. Wenn Daten bei jeder Bereitstellung einer Plattform unterschiedlich modelliert werden, ist die Wartung von KI-Modellen unmöglich.
XDR erfordert, dass Daten bei jeder Bereitstellung auf die gleiche Weise modelliert werden, bevor sie in einem Data Lake landen. Daten sind nur in ihrem angereicherten oder normalisierten Zustand verfügbar.
SIEM bietet diese Funktion entweder als optionale Funktionalität an oder nicht. Im optionalen Szenario erfolgt die Anreicherung und Normalisierung als Nachbearbeitungsschritt für bereits gespeicherte Rohdaten. Daher fällt es SIEM-Architekturen schwer, eine KI-Engine mit der gleichen Genauigkeit wie XDR zu entwickeln. SIEMs können KI nutzen, die Skalierung wird jedoch schwieriger sein.
2. Alarm-Triage
In XDR werden Vorfälle aus korrelierten Warnmeldungen erstellt, auf deren Grundlage eine einheitliche Reaktion auf derselben Plattform orchestriert wird. Im Vergleich dazu sendet das SIEM Warnmeldungen an eine separate SOAR Plattform, die dann die nachgelagerte Reaktion und Korrelation durchführt.
Open XDR führt als Teil der Plattform Reaktionen und Korrelationen durch. Aus einzelnen Sicherheitsereignissen wird ein übergeordnetes Konstrukt erstellt, und die Open XDR Plattform reagiert auf den Vorfall als Ganzes.
Im Gegensatz dazu leitet ein SIEM-System Warnmeldungen an ein SOAR weiter, das diese anhand eines begrenzten Regelsatzes korrelieren muss, ohne eine umfassendere Analyse aller Vorgänge in der Umgebung durchzuführen. Open XDR generiert eine ähnliche Reaktion wie SOAR und SIEM, jedoch ist die Genauigkeit der Reaktion deutlich verbessert, da XDR KI-gestützte Korrelationen und Erkennungen nutzt und dabei alle Daten zur Verfügung stehen.
3. Einheitliche Werkzeuge
In einem XDR-Modell sind die für den Sicherheitsbetrieb benötigten Tools auf einer einzigen Plattform vereint, darunter UEBA, Data Lake, SOAR, TIP, EDR und NDR. SIEM-Systeme umfassen hingegen nur einen Data Lake, sodass SIEM-Nutzer verschiedene komplexe Tools selbst integrieren müssen. Viele SIEM-Lösungen bieten zwar umfangreiche Anpassungsmöglichkeiten und Plugins, die Verantwortung für die Konfiguration und den Aufbau des Systems liegt jedoch beim Nutzer oder Systemintegrator.
Dieser Unterschied hat vor allem Auswirkungen auf den Zeit-, Kapital- und Ressourcenaufwand für den Betrieb einer Sicherheitsplattform. SIEMs sind teuer im Betrieb, da es sich um offene Technologien handelt. Open XDR Plattformen hingegen sind präskriptive Technologien und können daher von Unternehmen effizienter eingesetzt werden.
Open XDR vs. SIEM: Was ist das Richtige für Ihr Unternehmen?
Wenn sich die funktionale Abdeckung ausschließlich auf TDIR über einen heterogenen Stack konzentriert, könnte ein Tool, das diese Funktion adressiert (Open XDR), die bessere Wahl sein. Dies bietet eine kürzere Amortisierungszeit als ein allgemein verwendbares Tool wie ein SIEM.
Wenn die funktionale Abdeckung jedoch über TDIR hinausgeht, ist ein SIEM möglicherweise die beste Lösung. XDR ist möglicherweise nicht in der Lage, diese zusätzlichen Anforderungen zu erfüllen – beispielsweise, wenn es um zentralisierten Speicher oder Compliance geht.
Ein Unternehmen möchte möglicherweise mit einer spezifischen Anforderung an TDIR beginnen und dann versuchen, seinen Anwendungsbereich auf verschiedene Bereiche der Sicherheitsabläufe auszuweiten, einschließlich der Zentralisierung von Protokollen oder Compliance. Diese Unternehmen müssen Anbieter finden, die ein offenes XDR mit einem einfachen Upgrade-Pfad auf ein SIEM mit vollem Funktionsumfang bereitstellen, beispielsweise durch Hinzufügen von Compliance-Paketen, Speicher oder Nicht-TDIR-Dashboard-Funktionen.
Unabhängig davon muss ein Unternehmen Tools priorisieren, die vorgefertigte Inhalte für einfache und erweiterte Anwendungsfälle bereitstellen, die mit einer ergebnisorientierten Strategie in großem Umfang bereitgestellt werden können.
Exabeam Open XDR
Exabeam Fusion XDR, eine Cloud-basierte Lösung, ist ein Open XDR, das einen ergebnisorientierten Ansatz verfolgt und präskriptive Workflows sowie vorgefertigte, bedrohungsspezifische Inhalte bietet, um die Bedrohungserkennung, -untersuchung und -reaktion (TDIR) effizient zu lösen.
Vorgefertigte Integrationen mit Hunderten von Sicherheitstools von Drittanbietern und unsere marktführende Verhaltensanalyse kombinieren schwache Signale verschiedener Produkte mit dem Verständnis des normalen Betriebsverhaltens, um komplexe Bedrohungen zu identifizieren, die von anderen Tools übersehen werden. Vorgeschriebene Workflows und vorgefertigte Inhalte, die auf bestimmte Bedrohungstypen ausgerichtet sind, ermöglichen SOCs, erfolgreichere TDIR-Ergebnisse zu erzielen. Die Automatisierung von Triage-, Untersuchungs- und Reaktionsaktivitäten über eine zentrale Steuerungsebene steigert die Produktivität der Analysten und verkürzt die Reaktionszeiten.
Mehr über Exabeam erfahren
Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.
-
Führung
Four Ways to Augment Microsoft Sentinel With the Exabeam Microsoft Sentinel Collector
-
Whitepaper
Strengthening Threat Detection and Investigation With Network Traffic Analysis
