De cyberbeveiligingsbranche zit vol met jargon, afkortingen en acroniemen. Nu zij worden geconfronteerd met steeds meer complexe aanvalsvectoren, van endpoints tot netwerken tot de cloud, gaan veel ondernemingen geavanceerde bedreigingen op een nieuwe manier te lijf: Extended Detection and Response, wat alweer een nieuw acroniem oplevert: XDR. En ondanks het feit dat XDR dit jaar al aardig ingeburgerd is geraakt bij toonaangevende bedrijven in de branche en de analistengemeenschap, is het nog steeds een evoluerend concept, wat gepaard gaat met de nodige verwarring.
- Wat is XDR?
- Hoe verschilt XDR van EDR?
- Is het hetzelfde als SIEM & SOAR?
Als een leider in de EDR-markt en een pionier op het gebied van de opkomende XDR-technologie krijgen wij vaak verzoeken om te verduidelijken wat het betekent en hoe het de klant uiteindelijk kan helpen betere resultaten te leveren. Met deze post willen we wat vaak gestelde vragen beantwoorden rondom XDR en de verschillen tussen XDR en EDR, SIEM en SOAR.
Wat is EDR?
EDR stelt een organisatie in staat endpoints te monitoren op verdacht gedrag en alle activiteiten en gebeurtenissen vast te leggen. Vervolgens spoort het geavanceerde bedreigingen op dankzij de aan gecorreleerde informatie ontleende kritieke context en geeft tenslotte een geautomatiseerde reactie, bijv. door een geïnfecteerd endpoint praktisch in real-time van het netwerk te isoleren.
Wat is XDR?
XDR is de volgende evolutie van EDR (Endpoint Detection and Response). Waar EDR de activiteiten in meerdere endpoints verzamelt en correleert, gaat XDR verder en verzorgt detectie, analyse en reactie voor endpoints, netwerken, servers, cloud workloads, SIEM en nog veel meer.
Hierdoor kunnen meerdere tools en aanvalsvectoren op één enkel scherm in het oog worden gehouden. Dit verbeterde inzicht stelt de gebruiker in staat bedreigingen te contextualiseren, wat de triage, het onderzoek en het herstel sterk ten goede komt.
XDR voert de verzameling en correlatie van gegevens in meerdere beveiligingsvectoren automatisch uit. Dit versnelt de bedreigingsdetectie, waardoor beveiligingsanalisten kunnen reageren voordat de bedreiging toeneemt. Directe integreerbaarheid en vooraf ingestelde detectiemechanismen die compatibel zijn met een scala aan producten en platformen zorgen voor verbeterde productiviteit, bedreigingsdetectie en forensische gegevens.
Hoe verschilt XDR van SIEM?
Wanneer wij het over XDR hebben, denken mensen wel eens dat dit een andere manier is om een Security Information & Event Management (SIEM)-tool te beschrijven. XDR en SIEM zijn echter twee verschillende dingen.
SIEM verzamelt, aggregeert en analyseert grote hoeveelheden loggegevens van overal in de onderneming en slaat deze op. De aanvankelijke opzet van SIEM was zeer breed: het verzamelen van beschikbare log- en gebeurtenisgegevens uit praktisch overal in de onderneming om deze op te slaan voor diverse usecases, zoals bestuur en naleving van voorschriften, regelgebaseerde patroonvergelijking, heuristische/gedragsgebaseerde bedreigingsdetectie zoals UEBA en het doorspitten van telemetriebronnen op IOC’s of atomic indicators.
Bij de implementatie van SIEM-tools komen echter veel fine-tuning en inspanning kijken. Verder kunnen beveiligingsteams overweldigd raken door het grote aantal waarschuwingen dat ze van een SIEM ontvangen, waardoor de SOC kritieke waarschuwingen over het hoofd zou kunnen zien. Bovendien is het nog steeds een passieve analytische tool die waarschuwingen geeft, ook al vangt een SIEM gegevens op van tientallen bronnen en sensoren.
Het XDR-platform streeft ernaar de uitdagingen van de SIEM-tool voor doeltreffende detectie van, en reactie op, gerichte aanvallen op te lossen en omvat gedragsanalyse, bedreigingsinformatie, gedragsprofilering en mogelijkheden voor analytisch onderzoek.
Wilt u meer te weten komen over het SentinelOne Singularity Platform? Neem dan contact met ons op of vraag een gratis demo aan.
Je moet ingelogd zijn om een reactie te plaatsen.