XDR-Lösungen: Wählen Sie die beste Option für Sie

Was sind XDR-Lösungen?

EXtended Detection and Response (XDR)-Lösungen bieten eine vereinfachte Sicht auf Bedrohungen im gesamten IT-Ökosystem und einen ganzheitlichen Ansatz zur Abwehr dieser Bedrohungen. XDR-Lösungen konsolidieren mehrere Sicherheitsprodukte auf einer einheitlichen und zusammenhängenden Plattform und organisieren die Warnmeldungen in Zeitleisten über verschiedene Berichtsquellen hinweg. Unternehmen leiden häufig unter mangelnder Transparenz bei potenziellen Angriffen auf Entitäten – Endpunkte, Server, Netzwerkverkehr, Cloud-IaaS-Funktionen, Cloud-SaaS-Funktionen, Anmeldeinformationen, Berechtigungen usw. – insbesondere, wenn sich der Angriff lateral über das Netzwerk und die Cloud-Dienste ausbreitet.

XDR hilft Unternehmen, Echtzeit-Einblicke zu gewinnen und so schnellere und bessere Ergebnisse zu erzielen. Unternehmen können XDR einsetzen, um ihre Erkennungs-, Schutz- und Reaktionsbemühungen zu verbessern. Durch die Zentralisierung der Bedrohungserkennung können Unternehmen die Produktivität ihres operativen Sicherheitspersonals steigern. XDR kann zudem dazu beitragen, die Gesamtbetriebskosten des Sicherheits-Stacks zu senken.

Native XDR vs. Open XDR

Native XDR-Anbieter bieten eine End-to-End-Lösung, die Ihre gesamten Anforderungen an die Bedrohungserkennung und -reaktion zentralisiert. Native XDR-Anbieter bieten ein Front-End-Tool, das Daten aus dem Sicherheits-Stack desselben Anbieters sammelt und zusammenführt und Kontext- und Analysefunktionen hinzufügt.

Eine native XDR-Lösung bietet in der Regel alle Sensoren, die für gängige XDR-Entitäten und Sicherheitskontrollpunkte wie Endpunkte, Netzwerke, Clouds, Identitäten und E-Mails erforderlich sind. Darüber hinaus bietet die Lösung datengestützte Back-End-Funktionen zur Bedrohungserkennung und Reaktion auf Vorfälle.

Open XDR-Anbieter bieten Lösungen, die sich in alle Anbieter und Protokollquellen eines bestehenden Ökosystems integrieren lassen. Anschließend korrelieren sie über den gesamten Anbieter-Stack hinweg und analysieren alle relevanten Daten. Gleichzeitig fügen sie Kontext über Sicherheitsinformationen und Korrelation hinzu. Typischerweise bieten Open-XDR-Anbieter hauptsächlich eine Back-End-Workflow-Engine und Analysefunktionen an.

Führende Anbieter von Open XDR können auch die erforderlichen präskriptiven Inhalte für mehrere oder alle Angriffsphasen sowie den gesamten Lebenszyklus der Bedrohungserkennung und Vorfallreaktion (TDIR) bereitstellen. Dies kann Ihnen bei der Lösung gängiger Security Operation Center (SOC)-Szenarien helfen.

Wie funktionieren XDR-Lösungen?

XDR-Lösungen bieten die folgenden Hauptfunktionen:

Analyse und Erkennung

XDR-Lösungen ermöglichen eine erweiterte, automatisierte Analyse von Sicherheitsereignissen und die Erkennung schwer fassbarer Bedrohungen. Dies umfasst:

• Analyse des gesamten Netzwerkverkehrs– XDR analysiert sowohl die externe als auch die interne Netzwerkauthentifizierung und den Datenverkehr, um Insider-Bedrohungen, kompromittierte Anmeldeinformationen oder Bedrohungen zu erkennen, die in den Netzwerkperimeter eingedrungen sind.
• Bedrohungsinformationen– XDR kann Sicherheitsereignissen Kontext hinzufügen, indem es Bedrohungsinformationen-Feeds und Daten verwendet, die gängigen Angriffsframeworks wie der MITRE ATT&CK Matrix zugeordnet sind.
• KI-gesteuerte Erkennung– XDR verwendet eine Vielzahl von Algorithmen für maschinelles Lernen, um Verhaltensschwellenwerte festzulegen und abnormale Aktivitäten in der Umgebung zu erkennen, einschließlich potenzieller Zero-Day-Angriffsbewegungen.

Reaktion auf Vorfälle

Wenn ein Sicherheitsvorfall erkannt wird, bietet eine XDR-Lösung:

• Durch die Korrelation aller mit dem Vorfall verbundenen Daten– Gruppieren von Warnungen und Erstellen einer aussagekräftigen Angriffszeitleiste über mehrere und unterschiedliche Sicherheitsstapelquellen hinweg – können Sicherheitsteams den Angriff visualisieren, die Grundursache identifizieren und Reaktionen priorisieren.
• Zentrales Dashboard– XDR-Lösungen ermöglichen es Sicherheitsteams, Vorfälle von einer Konsole aus zu untersuchen und darauf zu reagieren, ohne mehrere Anmeldungen verwalten oder mehrere Tools und Schnittstellen erlernen und bedienen zu müssen.
• Reaktionsautomatisierung und -orchestrierung– XDR kann mithilfe automatisierter Playbooks auf Vorfälle reagieren oder Sicherheitsanalysten ermöglichen, konsistente Reaktionen über dieselbe zentrale Schnittstelle auszulösen.

Flexibles Framework

Eine XDR-Lösung kann in eine Vielzahl von IT- und Sicherheitssystemen integriert werden und wird im Laufe der Zeit typischerweise immer häufiger genutzt:

• Sicherheitsorchestrierung– XDR lässt sich in vorhandene Sicherheitskontrollen integrieren und ermöglicht die Automatisierung von Reaktionen sowie die konsistente Bereitstellung von Sicherheitsrichtlinien.
• Skalierbarkeit– XDR-Lösungen sind in der Regel Cloud-basiert und unterstützen eine einfache Skalierbarkeit von Datenmengen und Analyseanforderungen mit flexiblen Aufbewahrungszeiträumen.
• KI-Training– XDR basiert auf Algorithmen des maschinellen Lernens, die sich an den spezifischen Daten der Organisation orientieren und mit der Zeit präziser werden.

Fragen, die Sie vor der Auswahl der richtigen XDR-Lösung berücksichtigen sollten

Bietet die XDR-Lösung stapelübergreifende Sichtbarkeit?

Eine umfassende XDR-Plattform kann Telemetriedaten aus mehreren Sicherheitsebenen sowie von mehreren möglichen Angriffspunkten in heterogenen Sicherheits-Stacks und verteilten Netzwerken verarbeiten. Dies ermöglicht die kontinuierliche Überwachung und Verwaltung eingehender Warnmeldungen. Darüber hinaus erfassen XDR-Lösungen Bedrohungsdaten, um proaktiv nach verborgenen Bedrohungen zu suchen.

Bietet die XDR-Lösung Advanced Analytics?

XDR-Lösungen sollten eine automatisierte, KI-basierte Ereigniskorrelation bieten und in der Lage sein, Sicherheitsgruppen Warnmeldungen zu senden, um Zeitleisten für Vorfälle zu erstellen.

Eine effektive XDR-Lösung nutzt Signale gängiger Drittanbieter-Tools und Daten aus Threat-Intelligence-Quellen, um häufige Bedrohungen zu identifizieren, ohne dass umfangreiche Anpassungen oder Konfigurationen erforderlich sind. Sie sollte außerdem integrierte Workflows und Playbooks bieten, mit denen Sicherheitsteams Bedrohungen begegnen können.

Dies ist der „Inhaltsaspekt“ einer XDR-Lösung – wie gut sie bestimmte Szenarien zur Bedrohungserkennung angeht, ohne dass die Sicherheitsteams diese Szenarien selbst identifizieren und definieren müssen.

Kann die XDR-Lösung in SIEM integriert werden?

Sowohl Open XDR als auch SIEM können Funktionen zur Bedrohungserkennung, -untersuchung und -reaktion (TDIR) enthalten. Beispielsweise verfügen Exabeam Fusion XDR und Exabeam Fusion SIEM über gemeinsame Strukturkomponenten, darunter ein Automatisierungsframework und eine erweiterte Analyse-Engine.

Die Kernfunktionen von SIEM und Open XDR sowie die Designphilosophie der jeweiligen Lösung unterscheiden sie jedoch deutlich. Denn SIEM und Open XDR sind für unterschiedliche Szenarien konzipiert:

• Open XDR eignet sich für Vorgänge, bei denen der Schwerpunkt der funktionalen Abdeckung in erster Linie auf der Erkennung und Reaktion auf Bedrohungen in einem heterogenen Stapel liegt.
• SIEM eignet sich für Vorgänge, bei denen die erforderliche funktionale Abdeckung über die Bedrohungserkennung und sofortige Reaktion auf Vorfälle hinausgehen und auch historische Referenz- und Protokollereignisspeicherung umfassen muss. Dies ist ein Faktor für viele Compliance-Anforderungen.

Unternehmen möchten manchmal klein anfangen und sich speziell auf TDIR konzentrieren. In der Regel planen sie, ihren Anwendungsbereich später auf andere Sicherheitsbereiche wie Protokollzentralisierung oder Compliance auszuweiten. In solchen Fällen können sich Unternehmen für offene XDR-Lösungen entscheiden, die einen einfachen Upgrade-Pfad zu einem SIEM bieten, beispielsweise durch das Hinzufügen von Compliance-Paketen oder das Angebot von Dashboarding-Funktionen ohne TDIR.

Im Idealfall sollte jede Lösung vorgefertigte Inhalte für allgemeine und erweiterte Szenarien bereitstellen, die in großem Maßstab mithilfe eines ergebnisorientierten Ansatzes bereitgestellt werden.

Kann die XDR-Lösung Antworten automatisieren?

Eine effektive XDR-Lösung automatisiert Reaktionsprozesse über mehrere Domänen hinweg. Sie sollte wirksame Reaktionen auslösen können, die zur Eindämmung von Vorfällen beitragen. Um eine effiziente Behebung zu gewährleisten, ist jede Reaktion vordefiniert und wiederholbar. Dies ermöglicht es Teams auch, während eines laufenden Angriffs jederzeit einzugreifen. Bei der Definition einer Reaktion müssen SOC-Teams und die Führung sowohl kurzfristige Reaktionen als auch langfristige Maßnahmen zur Neutralisierung eines Angriffs klar definieren.

Exabeam Fusion XDR

Exabeam Fusion XDR, eine Cloud-Lösung, verfolgt einen ergebnisorientierten Ansatz und bietet präskriptive Workflows sowie vorgefertigte, bedrohungsspezifische Inhalte zur effizienten Lösung von Bedrohungserkennung und Vorfallreaktion (TDIR). Vorgefertigte Integrationen mit Hunderten von Sicherheitstools von Drittanbietern und unsere marktführende Verhaltensanalyse kombinieren schwache Signale von mehreren Produkten mit einem Verständnis des normalen Betriebsverhaltens, um komplexe Bedrohungen zu finden, die von anderen Tools übersehen werden. Vorgeschriebene Workflows und vorgefertigte Inhalte, die sich auf bestimmte Bedrohungsarten konzentrieren, ermöglichen SOCs, erfolgreichere TDIR-Ergebnisse zu erzielen. Die Automatisierung von Triage-, Untersuchungs- und Reaktionsaktivitäten von einer einzigen, zentralen Steuerungsebene aus steigert die Produktivität der Analysten und verkürzt die Reaktionszeiten.