Soc, Siem, MDR, EDR ... Quais são as diferenças? (2024)

SOC e SIEM: Quais são as diferenças?

Muitas vezes, recebemos perguntas de clientes que indicam que estão procurando um "SOC/SIEM gerenciado", como se os dois fossem naturalmente intercambiáveis.No entanto, eles não são.Então, o que exatamente eles são?

Socsignifica Centro de Operações de Segurança.Um SOC geralmente se concentra não apenas nas operações de segurança (como o gerenciamento de dispositivos de segurança), mas também no gerenciamento de ameaças e vulnerabilidades, monitoramento proativo e qualificação de incidentes.Mas pode significar coisas diferentes para pessoas diferentes.No entanto, uma coisa é clara: um SoC é uma função comercial que é uma combinação de pessoas, processos e tecnologia (se você usa ou usa funcionários internos, procedimentos e ferramentas ou terceirização).

SiemPor outro lado, significa "informações de segurança e gerenciamento de eventos".Isso não apenas permite o processamento padronizado de dados de log de várias ferramentas de segurança, mas também monitoramento extensivo com a ajuda de fontes de log personalizadas, como aplicativos personalizados ou produtos de nicho que não são usados ​​pelo mercado mais amplo.Um SIEM é uma tecnologia para operações de segurança.Mas é só isso - tecnologia - não se transforma.

Então, por que eles são frequentemente mencionados em uma respiração?Acreditamos que este é um termo desatualizado que está mudando lentamente.Quando a detecção e a resposta como conceito surgiram (assumindo que 100% de prevenção é impossível), um SIEM era efetivamente a única maneira de entregar essa função e, portanto, as equipes SOIM escolheram o SIEM como sua ferramenta favorita.Depois de um tempo, no entanto, inúmeras opções surgiram.Até o próprio SoC começa a se dividir em algumas sub -funções.

O Orange Cyberdefense divide isso em três funções claras:

• SOC - Os centros operacionais que garantem o gerenciamento de dispositivos de segurança e o monitoramento das plataformas operacionais, implementando alterações e oferecendo suporte e solução de problemas.
• Cybersoc - Os centros operacionais que garantem o monitoramento proativo de incidentes de segurança, análise e triagem de relatórios de dados de várias tecnologias de segurança e oferecem uma disposição incidental inicial (por exemplo, um relatório de incidente inicial, isolamento de máquinas infectadas).
• CERT - Esta é a equipe de resposta a emergências de computador.Essa equipe opera tanto da Central Operational Central com membros móveis que realizam atividades como transição incidental no local nos locais/data centers dos clientes.O certificado tem várias funções:
  • Fornecendo informações de ameaça e vulnerabilidade aos clientes e também às outras equipes mencionadas acima.
  • Oferecendo uma função CSIRT (Equipe de resposta a incidentes de segurança do computador).
  • Monitoramento externo dos riscos digitais dos clientes com a ajuda de várias fontes públicas e informações obtidas em fóruns subterrâneos / sites fechados (por exemplo, o que geralmente é conhecido como "Web Dark", ou em outras palavras, sites que não são acessíveis via padrão navegadores da Internet).

Agora que conhecemos as equipes, o que há em termos de ferramentas?Discutimos o SIEM acima, mas não é mais a única opção para fornecer detecção e resposta eficazes.De fato, muitas organizações agora começam com o básico, a detecção e a resposta de terminais (EDR).

EDR: resposta de detecção de terminais

EdrO software monitora pontos de extremidade (computadores, tablets, telefones celulares, etc.), não a rede do sistema.

Para fazer isso, o software EDR analisa o uso dos terminais monitorados, em particular através da análise comportamental.Isso torna possível reconhecer o comportamento desviante após uma fase de aprendizado.O software EDR também pode monitorar a exploração de defeitos de segurança.

A vantagem das soluções EDR é que elas permitem que as empresas se protejam contra ataques conhecidos (por exemplo, um vírus) e desconhecidos, analisando comportamentos suspeitos.

Além do EDR, no que diz respeito à entrega da funcionalidade básica para detecção e resposta, temos NDR.

NDR: Detecção de Rede e Resposta

NDRO software oferece extensa visibilidade às equipes do SOC sobre toda a rede, para detectar o comportamento de invasores potencialmente ocultos que se concentram em infraestruturas físicas, virtuais e em nuvem.Ele complementa as ferramentas EDR e SIEM.

A abordagem NDR oferece uma visão geral e se concentra nas interações entre os diferentes nós da rede.A obtenção de um contexto de detecção mais amplo pode possibilitar o tamanho total de um ataque e possibilitar as ações de resposta mais rápidas e direcionadas.

XDR: Detecção e resposta estendidas

Xdré uma evolução da EDR e substituiu efetivamente o EDR no mercado de segurança.Com o EDR como um componente básico, o XDR Software se esforça para reunir as abordagens discutidas anteriormente do EDR e NDR para ajudar as equipes de segurança a resolver problemas com visibilidade de ameaças, centralizando, padronizando e correlação.Essa abordagem aumenta as possibilidades de detecção em comparação com as ferramentas de detecção e resposta de pontos de extremidade autônomos (EDR) ou análise de tráfego de rede (NDR).Por exemplo, o XDR oferece visibilidade completa usando dados de rede para monitorar pontos de extremidade vulnerável (não gerenciada) que não são visíveis às ferramentas EDR, enquanto também mostra tráfego de rede suspeito no contexto do comportamento visível em vários hosts que podem estar relacionados com o tráfego de rede suspeito.

O XDR analisa dados de várias fontes (atividade de e-mail, terminais, servidores, redes, fluxos de nuvem, tecnologias de identidade como Azuread ou outros provedores de SSO ...) para validar relatórios, reduzindo falsos positivos e a quantidade geral de relatórios.Essa integração de indicadores de várias fontes permite que o XDR melhore a eficiência das equipes de segurança.

Resumindo:

• EDR: oferece um insight detalhado, mas não possui cobertura para pontos de extremidade não gerenciados ou pontos de extremidade que não podem executar um agente (por exemplo, impressoras, ambientes em nuvem de servidor).
• NDR: tem uma ampla visão geral da rede de nuvem híbrida e segue o uso da identidade em toda a organização, mas não verifica em detalhes o que acontece nos pontos de extremidade.
• XDR: rompe os limites dos períodos de detecção, traz automação para acelerar investigações e se esforça para facilitar a detecção de ataques avançados.
• SIEM: leva mais tempo e esforço para configurar e manter as abordagens acima, mas oferece adaptabilidade crucial e dados de log aproximados diretamente acessíveis quando necessário.

Temos um último acrônimo para você.

MDR: Resposta de detecção gerenciada

A abreviaçãoMdrsignifica detecção e resposta gerenciadas.O MDR reúne a função SOC e as várias soluções mencionadas acima para possibilitar uma abordagem abrangente das ameaças cibernéticas.MDR produz um resultado.

Portanto, se você perceber que seus pensamentos estão se desviando ao pensamento "preciso de um Siem/SOC gerenciado", considere o MDR!

Com o uso correto de soluções MDR, você tem uma equipe confiável e está firmemente na sela e pode continuar acelerando digitalmente na velocidade de raios e incansavelmente.Em nosso guia gerenciado de detecção e comprador de respostas, você pode ver rapidamente quais são as melhores soluções de detecção e resposta para sua organização.