افتح XDR مقابل SIEM


مطابقة الموارد ومخاطر الأعمال بالحل الصحيح

يعد اكتساب الرؤية والاستجابة للهجمات عبر البنية التحتية للمؤسسة بأكملها (نقاط النهاية ، والخوادم ، والتطبيقات ، و SaaS ، والسحابة ، والمستخدمون ، وما إلى ذلك) أمرًا صعبًا للغاية في بيئة الأمن السيبراني اليوم. تضطر الشركات إلى إنشاء مكدسات أمنية معقدة تتكون من SIEM, UEBA، SOAR ، EDR ، NDR, TIP وأدوات أخرى لمواجهة هذا التحدي. للعديد من الشركات ، SIEM هي الأداة الرئيسية لتجميع البيانات من البنية التحتية وتحليلها. أفاد ما يقرب من نصف الشركات أنها غير راضية عن SIEMs [1] ، ولكن جميع المؤسسات ستسارع إلى الإشارة إلى مقدار رأس المال والوقت والموارد التي ضختها للوقوف والحفاظ على نظم الإدارة المتكاملة (SIEM) الخاصة بها. افتح XDR تبرز كنهج جديد يعالج التحدي المتمثل في اكتساب الرؤية والاستجابة للهجمات عبر البنية التحتية للمؤسسة بأكملها. في هذه المقالة ، سوف ننظر في كيفية القيام بذلك افتح XDR و SIEM كحلول أمنية.

تعريف Open XDR

تُعرِّف شركة Gartner تقنية XDR ، أو الكشف والاستجابة الموسعة ، على أنها "نظام أساسي موحد لاكتشاف الحوادث الأمنية والاستجابة لها يجمع البيانات ويربطها تلقائيًا من عدة مكونات أمنية خاصة." هذا التعريف ، الذي يعود تاريخه إلى عام 2020 ، لا يلتقط افتح XDR كفئة ناشئة من XDR يجمع البيانات ويربطها من جميع مكونات الأمان الحالية ، وليس فقط الملكية أو بائع واحد. وبالتالي، افتح XDR يتم تعريفه بنفس طريقة Gartner XDR تعريف إلا أنه ينتهي بـ "جميع مكونات الأمان الحالية ، يتم تسليمها عبر بنية مفتوحة". فتح مقابل Native XDR تمت مناقشة الاختلاف بالتفصيل في مقال آخر. في هذه المقالة ، نركز على Open XDR مقارنة بـ SIEM. لذا فإن Open XDR لديه المتطلبات الفنية التالية للوفاء بوعد التعريف أعلاه:

  • القابلية للنشر - بنية الخدمات المصغرة السحابية الأصلية لقابلية التوسع والتوافر ومرونة النشر
  • دمج البيانات - مركزية وتطبيع وإثراء البيانات عبر سطح الهجوم بأكمله ، بما في ذلك الشبكة والسحابة ونقاط النهاية والتطبيقات والهوية
  • كشف -  كشف آلي مدمج من خلال تعلم آلة 
  • علاقة - اكتشافات مرتبطة عالية الدقة عبر أدوات أمان متعددة
  • استجابة ذكية - بنقرة واحدة أو استجابة تلقائية من نفس النظام الأساسي.

يبدو مشابهًا لـ SIEM بالإضافة إلى القليل سور؟ هذا لأنه كذلك. ومع ذلك ، هناك اختلافات معمارية كبيرة تسمح بذلك افتح XDR للوفاء بالعديد من وعود SIEMs أين SIEMs قصرت.
تعريف Open XDR

تعريف SIEM

يعرّف جارتنر SIEM، أو معلومات الأمان وإدارة الأحداث ، باعتبارها تقنية "تدعم اكتشاف التهديدات والامتثال وإدارة الحوادث الأمنية من خلال جمع وتحليل الأحداث الأمنية (سواء في الوقت الفعلي أو التاريخي) ، بالإضافة إلى مجموعة متنوعة من البيانات السياقية والأحداث الأخرى مصادر." هذا التعريف مشابه بشكل ملحوظ لتعريف XDR. الهندسة المعمارية هي المكان الذي تكمن فيه الاختلافات الأكبر ، ولكن من الناحية التعريفية ، تم تسمية SIEM بعد غرضها الرئيسي - لإدارة المعلومات والأحداث. تم تسمية XDR أيضًا بعد غرضه الرئيسي - الكشف والاستجابة. قد يبدو هذا وكأنه نقطة ثانوية ، ولكن هذا الاختلاف في الأغراض التجارية هو ما يدفع النهج المعماري ، وهذا هو السبب في أن SIEMs كثيفة رأس المال في بيئة الأمن اليوم.

مقارنة البنيات

تركز هذه المقارنة فقط على الاختلافات. هناك عدد من أوجه التشابه التقنية ، بما في ذلك التخزين طويل الأجل ، والتكامل المفتوح مع أدوات الأمان ، وميلاد السحابة ، والبحث الفعال والبحث عن التهديدات.
ومع ذلك ، يحتوي Open XDR على خمسة اختلافات معمارية رئيسية عن SIEMs:

  1. يتم فرض البيانات على حالة طبيعية ومُخصَّصة ، ويتم ذلك قبل تخزين البيانات في بحيرة بيانات.
  2. يتم تشغيل عمليات اكتشاف التنبيهات وربطها تلقائيًا بواسطة AI في افتح XDR، ليست قواعد مكتوبة بشريًا كما هو الحال مع SIEMs.
  3. يتم إنتاج الحوادث من التنبيهات المترابطة ، والتي يتم من خلالها تنسيق استجابة واحدة على نفس النظام الأساسي ، مقارنةً بنظام SIEM ، الذي يرسل تنبيهات إلى منصة SOAR مختلفة تقوم بعد ذلك بتنفيذ الارتباط والاستجابة النهائية.
  4. العديد من الأدوات المطلوبة للعمليات الأمنية موحدة ، مثل بحيرة البيانات الكبيرة ، UEBA ، SOAR ، TIP ، NDR or EDR على منصة واحدة بينما تشتمل العديد من نماذج SIEM على ملف بحيرة البيانات الضخمة ، مما اضطر SIEM يقوم المستخدمون بدمج العديد من الأدوات المعقدة يدويًا معًا بأنفسهم.

الفروق 1 و 2 تسير جنباً إلى جنب. من أجل بناء ذكاء اصطناعي ذي مغزى والحفاظ عليه في أي صناعة ، يجب حل مشكلة البيانات. في مجال الأمن ، هذا يعني أن البيانات يجب أن تكون مركزية وتطبيعية وإثراء لتقليل تعقيد البيانات. إذا تم تصميم البيانات بشكل مختلف في كل عملية نشر لمنصة ، فسيكون الحفاظ على نماذج الذكاء الاصطناعي مشكلة مستحيلة. يفرض XDR البيانات على نمذجة بنفس الطريقة عبر كل عملية نشر قبل وصول البيانات إلى بحيرة البيانات ؛ البيانات متاحة فقط في حالتها الطبيعية والمُخصبة يوفر SIEM هذا إما كوظيفة اختيارية أو لا يوفر هذه الميزة على الإطلاق ؛ في الحالة الاختيارية ، يتم التعامل مع التطبيع والإثراء كخطوة ما بعد المعالجة على البيانات الخام المخزنة بالفعل.

باختصار ، فيما يتعلق بالاختلافات الفنية 1 و 2 ، افتح XDR يفرض التطبيع وإثراء البيانات ، لذلك فهو قادر على بناء ذكاء اصطناعي هادف يربط الأحداث والتنبيهات معًا. لنفس الأسباب ، SIEM العمارة غير قادرة على إنتاج محرك ذكاء اصطناعي بنفس الدقة بسبب معالجتها للبيانات. ستكون SIEMs قادرة على الاستفادة من الذكاء الاصطناعي ، ولكن سيكون من الصعب توسيع نطاقها.

الاختلاف الفني 3 ينخفض ​​إلى افتح XDR أداء الارتباط والاستجابة في نفس المنصة. يتم إنشاء بنية ذات ترتيب أعلى للحادث (تنبيهات متعددة ذات صلة) تلقائيًا في ملف افتح منصة XDR، ويتم الرد على ذلك بشكل كلي. أ SIEM يجب تمرير التنبيهات إلى ملف سور، والتي يجب أن تربط التنبيهات مع القواعد دون السياق العميق لكل ما يحدث في البيئة. افتح XDR ينتج استجابة تمامًا مثل SIEM و SOAR ، لكن دقة الاستجابة أكبر بكثير مع XDR لأنه يتم تنظيمه من نفس النظام الأساسي الذي يقوم بعمليات الكشف والارتباطات التي تعتمد على الذكاء الاصطناعي ، حيث تتوفر جميع البيانات.

يتمحور الاختلاف الفني النهائي حول نهج بناء كومة الأمان العامة والحفاظ عليها. افتح XDR تم تصميمه لتوحيد جميع الأدوات الرئيسية لعمليات الأمان بحيث يمكن تنسيقها من منصة واحدة. تقدم العديد من SIEMs قوائم طويلة من المكونات الإضافية ومستويات عميقة من التخصيص ، لكن هذا يضع عبئًا على المستخدمين لبناء نظامهم وتكوينه.

بالنسبة للمؤسسة ، تؤثر هذه الاختلافات الفنية على رأس المال والوقت والموارد اللازمة لتشغيل منصة الأمان. SIEMs هي تقنيات مفتوحة ، لذا سيكون تشغيلها مكلفًا. افتح XDR المنصات عبارة عن تقنيات أمنية توجيهية ، وبالتالي ستكون المؤسسات أكثر كفاءة عند استخدامها.

أخيرًا ، على الرغم من عدم وجود اختلافات فنية صارمة ، إلا أن هناك مجالين ركزت فيهما SIEMs بشكل أكبر على التخزين الثقيل المرتبط بالامتثال واستخدام نفس النظام الأساسي لعمليات تكنولوجيا المعلومات. XDR تم تصميمه لنتيجة الكشف والاستجابة. لا يزال بإمكانه تلبية متطلبات الامتثال ، ولكن لم يتم تصميمه لذلك منذ البداية. عمليات تكنولوجيا المعلومات في نفس النظام الأساسي هو شيء لا يمكن إلا لـ SIEM المطالبة به ، حيث تركز Open XDR بشكل صارم على الأمان.

ماذا عن NG-SIEMs؟

يشير أي شيء من "الجيل التالي" إلى شيء أفضل وليس مختلفًا. NG-SIEMs هي أفضل من SIEMs بالمعنى الافتراضي. افتح XDR يختلف عن كليهما. جلبت NG-SIEMs تطورات هائلة في العديد من المجالات حيث الإرث SIEMs لم يواكبوا متطلبات البيئة الأمنية الحالية. التحسينات الملحوظة هي:

  • استخدام تقنيات البيانات الضخمة (لا مزيد من السقوط المستمر في SIEM)
  • بعض تحليل سلوك المستخدم والكيان (UEBA) من خلال خوارزميات مختلفة
  • تحسينات UI / UX لمهام سير العمل الرئيسية مثل Threat-Hunting
  • أصلية أو تكامل مفتوح مع يركب
  • ملحقات نمذجة البيانات.

NG-SIEMs بالتأكيد سد فجوة القدرة بين Open XDR و SIEM ، لكن الاختلافات المعمارية تظل كما هي.

يقول بعض البائعين إنهم يقدمون منصة SIEM ومنصة XDR - ما الذي يمنحك؟

هناك العديد من أوجه التشابه بين SIEM و Open XDR ، كما هو مذكور أعلاه. الاختلافات الفنية دقيقة ، ولكن لها آثار كبيرة على قيمة الأعمال ورأس المال المطلوب للتشغيل. هناك نوعان من المطالبات يقدمها البائعون إذا كانوا يستخدمون كل من SIEM و افتح XDR لوصف منتجهم.

أول مطالبة قد يقدمها البائعون هي أنهم قد يستخدمونها "قدرات SIEM" للإشارة إلى افتح منصة XDR امتلاك جميع الإمكانات المهمة لـ SIEM - التجميع المفتوح ، التخزين ، البحث ، إعداد التقارير ، السحابة الأصلية - كطريقة لوصف كيفية نشر Open XDR في مكدس أمان مؤسسي ، على وجه التحديد لاستبدال ملف موجود SIEM.

الادعاء الثاني الذي قد يقدمه البائعون هو القول إن نظامهم الأساسي عبارة عن ملف SIEM و افتح منصة XDR. هذه نقطة مربكة من المحتمل أن تضمن أن البائع لا يفوت فرصة تسويق الفئة المحتملة ويمكنه بيع منتج للعملاء بغض النظر عما إذا كانوا يبحثون عن SIEM أو Open XDR. كما نوقش أعلاه ، يختلف SIEM و Open XDR ، لذلك لا يمكن أن يكون المنتج نفسه كلاهما.

التنقل في مسار تصادم XDR و SIEM

XDR في مسار تصادمي مع SIEM و SOAR ، كما لاحظت شركة Forrester [2]. تحتاج الشركات إلى التعامل مع كلا الفئتين التكنولوجيتين مع وضع نتائج الأعمال طويلة الأجل والموارد المتاحة في الاعتبار. هل تعد الدقة العالية والكشف الآلي والاستجابة خارج الصندوق أكثر أهمية؟ هل القدرة على الاستجابة من نفس النظام الأساسي من قبل نفس الفريق أمر بالغ الأهمية لتقليل وقت إقامة الهجوم؟ هل الفريق يعاني من نقص في الموظفين و / أو يحتاج إلى الكثير من التدريب لتشغيل الأداة؟ هذه هي الأسئلة الرئيسية التي يجب على المؤسسات طرحها على الطاولة عند تحديد إستراتيجية مكدس الأمان وتحديد ما إذا كان XDR أو SIEM مناسبًا لهم.