EDR
Met een Extended Detection and Response (EDR)-oplossing kan een organisatie endpoints controleren op verdacht gedrag en wordt elke afzonderlijke activiteit en gebeurtenis vastgelegd. Vervolgens wordt informatie gecorreleerd om context te bieden en zo geavanceerde dreigingen te detecteren. Ten slotte voert EDR geautomatiseerde responsactiviteiten uit. Denk hierbij aan het bijna realtime isoleren van een geïnfecteerd endpoint van het netwerk.
XDR
XDR is in feite de evolutie van EDR. EDR verzamelt en correleert activiteiten over meerdere endpoints, terwijl XDR automatisch gegevens verzamelt en correleert over meerdere beveiligingsvectoren en die presenteert in één overzicht. Dit maakt snellere detectie van dreigingen mogelijk, zodat beveiligingsanalisten snel kunnen reageren voordat de impact van de dreiging groter wordt.
Het verschil tussen XDR en SIEM
Als we spreken over XDR, dan denken sommige mensen meteen aan een Security Information & Event Management (SIEM)-tool. Maar XDR en SIEM zijn twee verschillende dingen. SIEM verzamelt en analyseert grote hoeveelheden loggegevens uit de hele onderneming, en slaat deze op voor verschillende use cases. Denk aan governance en compliance, heuristische/gedragsdetectie van dreigingen zoals UEBA en het zoeken naar telemetriebronnen voor IOC's of atomaire indicatoren.
Het kost veel tijd en inspanning om SIEM-tools te implementeren. Bovendien kunnen security-teams overweldigd raken door het enorme aantal meldingen van een SIEM, waardoor het SOC kritieke waarschuwingen over het hoofd ziet. Het blijft ook een passief analytisch hulpmiddel dat bij een dreiging waarschuwingen geeft. Het XDR-platform is bedoeld om de uitdagingen van de SIEM-tool op te lossen en omvat gedragsanalyse, dreigingsinformatie, gedragsprofilering en analyse.
Het verschil tussen XDR en SOAR
Security Orchestration & Automated Response (SOAR)-platforms worden gebruikt door security-teams om meerfasen-playbooks te maken en uit te voeren, die acties automatiseren in een API-verbonden ecosysteem van beveiligingsoplossingen. XDR daarentegen zal ecosysteemintegraties mogelijk maken en mechanismen bieden om eenvoudige acties tegen beveiligingscontroles van derden te automatiseren. SOAR is complex, kostbaar en vereist een zeer volwassen SOC om partnerintegraties en draaiboeken te implementeren en te onderhouden. XDR is bedoeld als 'SOAR-lite': een eenvoudige, intuïtieve, zero-code-oplossing die bruikbaarheid biedt van het XDR-platform tot verbonden beveiligingstools.
Wat is MXDR?
Managed Extended Detection and Response (MXDR) breidt MDR-services uit over de hele organisatie om een volledig beheerde oplossing te krijgen die beveiligingsanalyses en -operations, geavanceerde threat hunting, detectie en snelle respons in endpoint-, netwerk- en cloudomgevingen omvat. Een MXDR-service breidt de XDR-mogelijkheden van de klant uit met MDR-services voor extra monitoring, onderzoeken, het opsporen van dreigingen en responsmogelijkheden.
Vaak is het moeilijk te begrijpen wat elke detectie- en responsoplossing biedt, vooral wanneer acroniemen van leverancier tot leverancier verschillen en verschillende dingen kunnen betekenen. Hopelijk is met dit artikel een aantal zaken toch verduidelijkt.
Reacties
En van welke externe partij is dit dan?