XDR vs. SIEM: Aktuelle Funktionen und ihre zukünftige Entwicklung

Was ist XDR?

EXtended Detection and Response (XDR)-Dienste bieten Funktionen zur Bedrohungserkennung, -untersuchung und -reaktion (TDIR). XDR-Dienste bieten korrelierte Eingangsabdeckung gegen eine Vielzahl von Bedrohungen aus unterschiedlichen Sicherheitstools im Stack mit einer schnellen Amortisierungszeit. Um effizient zu arbeiten und das Humankapital zu maximieren, nutzen XDR-Dienste erweiterte Analysen und Automatisierung.

XDR-Lösungen sind Cloud-fähig und werden in der Regel über die Cloud bereitgestellt. XDR-Anbieter bieten Schutz für verschiedene Bedrohungsszenarien, von einfachen Hackerangriffen auf Webserver bis hin zu komplexen Kombinationsbedrohungen wie Ransomware und lateraler Bewegung durch Datenexfiltration. XDR-Lösungen sind für heterogene Umgebungen konzipiert und ermöglichen als schlüsselfertige Lösung eine sofortige Wertschöpfung.

Was ist SIEM?

Lösungen für Security Information and Event Management (SIEM) nutzen Funktionen und Fähigkeiten des Security Information Management (SIM) in Kombination mit Funktionen des Security Event Management (SEM) und zentralisieren diese auf einer Plattform.

SIEM-Plattformen setzen Erfassungsagenten in einem IT-Ökosystem ein und/oder aggregieren sicherheitsrelevante Protokoll- und Warnereignisse von mehreren Standorten, darunter Endbenutzergeräte, Netzwerküberwachungsgeräte, Serversystemprotokolle sowie Sicherheitsgeräte wie Perimeter-Load-Balancer und Firewalls, Intrusion Prevention/Detection-Systeme (IPS/IDS), Web Access Firewalls (WAF) und Antivirusprogramme.

Die Aufgabe von Erfassungsagenten besteht darin, Ereignisse an ein zentrales Datenrepository weiterzuleiten und sie nach Schweregrad und/oder Zeitstempel zu sortieren, damit sie über eine zentrale Verwaltungskonsole überprüft werden können. SIEMs ermöglichen es Sicherheitsanalysten, Ereignisse und Warnungen sofort zu sehen und diese Daten auf Vorfälle zu untersuchen.

Darüber hinaus bieten SIEMs häufig Compliance-Reporting-Funktionen für Mandate wie PCI, SOX, HIPAA und GDPR.

Was sind die Fähigkeiten von XDR?

Bedrohungserkennung– Die XDR-Lösung analysiert sowohl den Datenverkehr, der das Rechenzentrum durchläuft (Ost-West-Verkehr), als auch den Datenverkehr zwischen dem Rechenzentrum und anderen Netzwerken (Nord-Süd-Verkehr). Sie verbessert die Einbruchserkennung und unterstützt gleichzeitig ein Zero-Trust-Sicherheitsmodell, indem sie bereits vorhandene Bedrohungen in Ihrem Netzwerk identifiziert. XDR kombiniert Ereignisdaten mit Bedrohungsinformationen und nutzt Verhaltensanalysen, um verdächtige oder anomale Aktivitäten in der Umgebung zu identifizieren, einschließlich Zero-Day-Bedrohungen.

Incident Response– XDR-Lösungen bieten eine Reihe von Tools, die Sicherheitsteams bei der Reaktion auf erkannte Bedrohungen in ihrer Umgebung unterstützen. Warnmeldungen werden priorisiert und zu Angriffsfällen zusammengefasst, sodass Sicherheitsanalysten den vollständigen Hintergrund eines Angriffs ohne weitere forensische Analyse einsehen können. Die XDR-Lösung bietet eine zentrale Benutzeroberfläche für die Untersuchung von Vorfällen und die Reaktion auf Angriffe. Sie unterstützt außerdem die Sicherheitsorchestrierung, sodass Sicherheitsteams über dieselbe Oberfläche auf Angriffe reagieren können, die sie auch zur Überwachung und Triage von Bedrohungen verwenden.

Mikrosegmentierung– XDR-Lösungen bieten Mikrosegmentierungsfunktionen auf Workload-, Anwendungs- und Benutzerebene. Dies ermöglicht die konsistente Implementierung von Sicherheitsrichtlinien und Zugriffskontrollen in Bare-Metal- und Multi-Cloud-Rechenzentren, reduziert die Angriffsfläche und verhindert laterale Bewegungen.

Kontrolle über Endpunkte– Prozess-Whitelists und -Blacklists verbessern die Kontrolle über das Endpunktverhalten, indem nur bekannte, gute Prozesse zugelassen werden. Dies ermöglicht die Sperrung von Umgebungen mit hohem Risiko, wie z. B. Festfunktions- oder IoT-Geräten.

Verbesserte Produktivität– Sicherheitsteams werden mit Warnmeldungen überhäuft, denen Informationen und Kontext fehlen. Wenn sie eine aussagekräftige Warnung entdecken, müssen sie diese mithilfe verschiedener Tools untersuchen und darauf reagieren. XDR steigert die betriebliche Effizienz, indem KI die Zeitabläufe von Angriffen automatisch zusammenfügt und so die Zeit für die Triage, Identifizierung und Untersuchung relevanter Vorfälle verkürzt. Darüber hinaus bietet es eine integrierte Plattform für die Untersuchung und Reaktion auf Warnmeldungen.

Effizienz und Skalierbarkeit– XDR-Lösungen werden als integrierte Plattform bereitgestellt, die schnell implementiert werden kann und schnell Mehrwert liefert. Sie sind in der Regel Cloud-basiert und können dynamisch an den Datenbedarf eines Unternehmens angepasst werden.

Welche Möglichkeiten bietet herkömmliches SIEM?

SIEM-Lösungen sind seit über zwei Jahrzehnten auf dem Markt und wurden von der reinen Überwachung von Firewalls und Intrusion-Detection-Sensoren hin zu Cloud- und Netzwerksicherheitsprodukten aller Art weiterentwickelt. Hier sind die traditionellen Kernfunktionen einer SIEM-Plattform:

Log-Management– SIEM-Lösungen sammeln Protokolle aus mehreren IT-Systemen und kombinieren sie zu einem standardisierten, zentral gespeicherten Datensatz, der von Sicherheitsteams abgefragt und zum Generieren automatischer Warnungen verwendet werden kann.

Ereigniskorrelation– SIEM analysiert Protokolldaten und nutzt Korrelationsregeln und statistische Analysen, um mögliche Sicherheitsvorfälle zu identifizieren. Beispielsweise kann ein SIEM einen fehlgeschlagenen Anmeldeversuch desselben Benutzers über mehrere Endpunkte, Server und Cloud-Dienste hinweg identifizieren.

Bedrohungsintelligenz– SIEM lässt sich in Bedrohungsinformationen-Feeds integrieren, die Sicherheitsereignisse mit zusätzlichem Kontext anreichern, beispielsweise mit der Identität des Angreifers, auf der schwarzen Liste stehenden IP-Adressquellen oder bekannten Angriffsmustern.

Sicherheitswarnungen– Ein SIEM sendet Warnungen an Sicherheitsteams, entweder über die SIEM-Schnittstelle oder über verschiedene Benachrichtigungskanäle. Warnungen liefern detaillierte Informationen zum Ereignis und ermöglichen Analysten die weitere Untersuchung des Vorfalls.

Datenexploration– SIEM speichert Ereignisdaten, die es erfahrenen Sicherheitsanalysten ermöglichen, im Rahmen der Vorfalluntersuchung oder der proaktiven Bedrohungssuche über einen bestimmten Zeitraum hinweg Sicherheitsdaten zu durchsuchen und zu untersuchen, häufig mithilfe von SQL-Abfragen.

Compliance-Reporting– SIEMS werden als zentraler Hub innerhalb der größeren Sicherheitsinfrastruktur positioniert. Das SIEM unterstützt häufig vorgefertigte Reportings für Compliance-Vorgaben wie PCI DSS, SOX, GDPR und HIPAA.

Was sind die Herausforderungen des traditionellen SIEM?

Die größte Herausforderung bei herkömmlichen SIEM-Systemen ist die Alarmmüdigkeit. SIEM-Systeme generieren eine große Anzahl von Alarmen, darunter auch Fehlalarme. Dies stellt für Sicherheitsteams eine große Belastung dar, da sie jeden einzelnen Alarm sortieren und untersuchen müssen. Einige SIEM- oder Sicherheitsingenieure versuchen, dies durch aufwändige Optimierung der Firewall- und IDS-Ausgaben (oder anderer „störender“ Tools) zu erreichen, um die Auswirkungen auf das SIEM-System zu verringern. Dies reduziert einerseits die Alarmmüdigkeit und spart andererseits potenziell Kosten für die Protokollspeicherung und -verarbeitung.

SIEMs der nächsten Generation sollen dieses Problem durch die Einführung fortschrittlicher Analysen auf Basis maschinellen Lernens lösen.

Welche Möglichkeiten bietet SIEM der nächsten Generation?

Im Jahr 2019 stellte Gartner die Vision eines SIEM der nächsten Generation vor, das zusätzliche Funktionen umfasst, insbesondere maschinell lernbasierte Analysen und Reaktionsautomatisierung. Seitdem wurden SIEM-Lösungen der nächsten Generation eingeführt, die alle grundlegenden SIEM-Funktionen sowie einige der folgenden Funktionen bieten:

User and Entity Behavior Analytics (UEBA)– SIEM der nächsten Generation bietet UEBA-Technologie, die Verhaltensprofile von Benutzern, Gruppen, Maschinen und Anwendungen in der Umgebung erstellt und Anomalien identifiziert, die auf einen Sicherheitsvorfall hinweisen könnten.

Security Orchestration and Automation Response (SOAR)– SIEM-Systeme der nächsten Generation bieten Orchestrierungsfunktionen, die die Integration mit IT- und Sicherheitstools sowie die Steuerung mehrstufiger, systemübergreifender Prozesse ermöglichen. Sie ermöglichen zudem die automatisierte Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle mithilfe von Sicherheits-Playbooks, sodass das SIEM-System autonom auf Sicherheitsvorfälle und -verletzungen reagieren kann.

Datenerfassung aus zusätzlichen Quellen– Moderne IT-Umgebungen gehen über den traditionellen Netzwerkumfang hinaus. SIEM der nächsten Generation kann Daten aus Cloud-Diensten, BYOD- und IoT-Geräten und anderen neuen Datenquellen erfassen.

Skalierbare Datenspeicherung– SIEMs der nächsten Generation nutzen Data-Lake-Technologie, um deutlich größere Datenmengen kostengünstiger zu speichern. Dies ermöglicht eine längere Aufbewahrung größerer Mengen an Sicherheitsdaten.

XDR– SIEMs der nächsten Generation wie Exabeam Fusion SIEM umfassen XDR in der Suite von Anwendungen und Funktionen für verbesserte Ereigniskontexte, Analysen und TDIR-Anwendungsfälle.

Ein SIEM der nächsten Generation kann Sicherheitsvorgänge verbessern, indem es:

• Nutzung von UEBA zur Reduzierung falscher Positivmeldungen
• Zuordnen von Indikatoren für eine Gefährdung (IoC) zu einer bestimmten Art von Bedrohung, wodurch die Reaktionszeit (TTR) und die Untersuchungszeit (TTI) für Ereignisse verkürzt werden
• Zusammenfassen mehrerer Ereignisse in einer Angriffszeitleiste
• Reduzieren Sie die Reaktionszeit durch Automatisierung der Antworten

Abwägung SIEM vs. XDR

SIEM und XDR weisen technische Ähnlichkeiten auf, dienen aber unterschiedlichen Zwecken.

Hier sind einige der wichtigsten Unterschiede zwischen SIEMs der nächsten Generation und XDR:

• Funktionale Abdeckung– SIEM bietet verschiedene Funktionen, darunter Bedrohungserkennung, Compliance, Speicherung und Berichterstellung. XDR konzentriert sich auf eine Funktion: Bedrohungserkennung, -untersuchung und -reaktion (TDIR).
• Anpassung– SIEM ermöglicht unbegrenzte Anpassung für Randfälle, während XDR hauptsächlich für effektives TDIR konzipiert ist.
• Datenspeicherung– SIEM fungiert als zentraler Datenspeicher für die Sicherheitsorganisation und unterstützt die Langzeitspeicherung, während XDR normalerweise auf Daten aus anderen Quellen zugreift und diese vorübergehend zur Analyse speichert.
• Bereitstellungsmodell– SIEM kann vor Ort oder in der Cloud bereitgestellt werden, während XDR hauptsächlich über die Cloud bereitgestellt wird.
• Automatisierung– SIEM bietet hochgradig anpassbare Orchestrierung und Automatisierung mithilfe von Sicherheits-Playbooks und anderen IT-Playbooks. XDR bietet vorgefertigte Playbooks für spezifische TDIR-Anwendungsfälle.
• Marktpositionierung– SIEM der nächsten Generation ersetzt herkömmliche SIEM- und Sicherheitsdatenseen. XDR ergänzt in der Regel ältere SIEM- und Datenseen.

Auswahl Ihrer Investition: SIEM der nächsten Generation vs. XDR

Wann sollten Sie SIEM der nächsten Generation verwenden?

SIEMs der nächsten Generation eignen sich am besten für:

• Identifizierung unbekannter Bedrohungen, einschließlich neuer Angriffsmuster und Insider-Bedrohungen
• Anpassbare Datenexploration ermöglichen
• Zentralisierter Datenspeicher und Protokollaufbewahrung für wachsende Sicherheitsdaten in der modernen IT-Umgebung
• Hochgradig anpassbare Reaktionsautomatisierung und Orchestrierung
• Dieselben Anwendungsfälle für Compliance und Berichterstellung wie bei herkömmlichem SIEM

Wann sollten Sie XDR verwenden?

XDR eignet sich am besten für:

• Eine bestehende SIEM-Investition ist bereits vorhanden, und das Team möchte die Fähigkeiten der Analysten erweitern, um TTR und TTI zu verbessern
• Bekannte und unbekannte Bedrohungen erkennen und umgehend Bedrohungskategorien zuordnen
• Schnelles und effektives TDIR mit vorgefertigten Inhalten für gängige Bedrohungsfälle
• Unterstützung manueller und automatisierter Reaktionen auf kritische Bedrohungen
• Verbesserung der Produktivität von Sicherheitsanalysten und Verkürzung der Reaktionszeit

Fusion SIEM und Fusion XDR der nächsten Generation mit Exabeam

Exabeam Fusion XDR ist eine Cloud-basierte Lösung mit ergebnisorientiertem Ansatz, die präskriptive Workflows und vorgefertigte, bedrohungsspezifische Inhalte bietet, um die Bedrohungserkennung, -untersuchung und -reaktion (TDIR) effizient zu lösen. Sie verfügt über vorgefertigte Integrationen mit Hunderten von Sicherheitstools von Drittanbietern. Die marktführende Verhaltensanalyse von Exabeam kombiniert schwache Signale mehrerer Produkte, um komplexe Bedrohungen zu erkennen, die von anderen Tools übersehen werden. Die Automatisierung von Triage-, Untersuchungs- und Reaktionsaktivitäten steigert die Produktivität der Analysten und verkürzt die Reaktionszeiten.

Exabeam Fusion SIEM ist ein Cloud-basiertes SIEM der nächsten Generation, das unser branchenführendes Fusion XDR zur Bedrohungserkennung, -untersuchung und -reaktion bereitstellt, eingebettet in die vollständige Suite des SIEM-Angebots der nächsten Generation, einschließlich Cloud-basierter Protokollspeicherung, Suche und Compliance-Berichterstellung.