NDR laban sa SIEM: Ang Mga Pangunahing Pagkakaiba

Habang sumusulong ang saklaw at lakas ng mga toolkit sa cybersecurity, madaling makaligtaan kung paano nagsasapawan ang mga mas bagong tool – tulad ng Network Detection and Response (NDR) – sa mga subok at mapagkakatiwalaang solusyon tulad ng Security Information at Event Management (SIEM). Tutuklasin ng artikulong ito ang mga pagkakaiba sa pagitan ng NDR at SIEM, habang nililinaw ang mga pinakamahusay na kaso ng paggamit at pag-deploy para sa pareho.
#image_title

Gartner® Magic Quadrant™ NDR Solutions

Tingnan kung bakit kami lang ang nagtitinda na inilagay sa Challenger quadrant...

Matuto Nang Higit pa
#image_title

Damhin ang AI-Powered Security in Action!

Tuklasin ang cutting-edge AI ng Stellar Cyber ​​para sa instant na pagtuklas ng pagbabanta...

Iskedyul Isang Demo

Ano ang NDR?

Pagtuklas sa Network at Tugon ay pangunahing nakatuon sa pagtuklas ng mga butil-butil na pang-araw-araw na aktibidad sa loob ng mga network ng isang organisasyon. Sa halip na maglagay ng gateway sa gilid ng mga network ng isang organisasyon – na nagbibigay ng visibility lamang sa trapiko sa North-South – naglalagay ang NDR ng mga sensor sa mga panloob na network, na nagla-log sa lahat ng panloob, o East-West, na mga koneksyon. Sa ganitong paraan, magsisimula ang NDR kung saan umaalis ang firewall.

Kinokopya ng mga sensor ng NDR ang bawat packet – kasama ng metadata nito – at ipinapadala ang mga kopya sa central analysis engine ng solusyon. Madalas itong nakakamit ng mga TAP ng network, o mga span port, na mga sensor na nakabatay sa hardware na may mataas na pagganap; ang ibang mga deployment environment ay maaaring mangailangan ng software-based at virtual na mga sensor.

Sama-sama, ang lahat ng data na ito ay pinagsama-sama sa tuluy-tuloy na pagsubaybay at pagtugon sa stack ng NDR:

Network Behavioral Baseline Establishment

Sa unang pag-deploy, ang agarang tungkulin ng isang NDR ay itatag ang normal, pang-araw-araw na gawi ng mga konektadong network nito. Ito ay nakakamit sa pamamagitan ng pagpapakain ng mga nakolektang log sa isang unsupervised learning algorithm, na nag-iipon ng stream ng data na ito sa isang modelo ng karaniwang mga pattern ng komunikasyon, volume, at timing. Sa pamamagitan ng pag-profile sa lahat ng ito, maaaring ilapat ng isang NDR ang unang layer ng pagtuklas ng pagbabanta sa antas ng network.

Pagtukoy ng mga Paglihis mula sa Baseline

Kapag nagsimulang lumihis ang gawi ng network ng isang device mula sa normal na modelo, mapapansin ito ng NDR at i-flag ito bilang potensyal na kahina-hinala. Maaaring kasama sa gawi na ito ang biglaang pagdagsa ng mga pagtatangka sa pag-log in, pagtatangkang koneksyon sa mga pinaghihigpitang port, o ang hindi inaasahang pag-exfiltrate ng data mula sa isang empleyado na hindi karaniwang nag-a-access sa database na iyon.

Depende sa maling pag-uugali na pinag-uusapan, ang NDR ay maaaring gumawa ng alinman sa isang awtomatikong tugon, o ihambing ang aktibidad ng network laban sa mga kilalang Indicators of Compromise (IoCs).

Pagsusuri na nakabatay sa lagda

Ang karamihan sa mga cyberattack ay sumusunod sa isang partikular na diskarte: ang profile ng pag-atake na ito ay nagreresulta sa mga nakatakdang pattern ng mga aktibidad, o mga IoC. Upang i-verify ang panganib sa likod ng mga aberration ng network, maaaring ihambing ng isang NDR ang real-time na aktibidad ng network laban sa database ng mga IoC nito, na nagbibigay-daan dito na mabilis at awtomatikong matukoy kung aling pag-atake ang nagaganap – at tumulong na matukoy ang isang potensyal na umaatake.

Awtomatikong Tugon

Sa wakas, kung ang NDR ay mapapatunayang makatuklas ng isang potensyal na panghihimasok sa network, maaari itong tumugon sa antas ng network. Maaaring kabilang sa tugon na ito ang pag-quarantine sa mga nakompromisong device, pagharang sa nakakahamak na trapiko, o pagbubukod ng mga apektadong segment ng network. Pinipigilan nito ang pag-ilid na paggalaw ng isang umaatake, at maaaring isara ang isang pag-atake bago ang buong pag-deploy nito.

Ano ang SIEM?

Habang nangongolekta at nagsusuri ang mga NDR ng mga packet mula sa mga network ng isang organisasyon, SIEM mas malawak na lambat ang nakalatag: nilalayon nitong magkaroon ng ganap na kakayahang makita sa buong organisasyon. Ang mga log ay maliliit na file na nalilikha ng isang device tuwing nagsasagawa ito ng isang aktibidad: kinokolekta ang mga ito para sa SIEM pagsusuri sa pamamagitan ng isang software agent na ini-install sa bawat source device.

Mula doon, ang SIEM muling binubuo ang mga log file sa isang magkakaugnay na view ng mga aksyon ng bawat device:

Pagkolekta ng Log, Pag-filter, at Pag-parse

Patuloy na sinusubaybayan ng ahente ang mga bagong log, kinokolekta ang mga ito nang real-time o sa mga naka-iskedyul na pagitan, depende sa configuration ng system. Bago ipadala ang mga ito sa SIEM platform, sinasala ng ahente ang ingay (mga hindi nauugnay na datos), pina-parse ang mga pangunahing field (tulad ng mga timestamp, IP address, o mga uri ng kaganapan), at kinukuha ang mga pinakamahalagang bahagi.

Normalisasyon ng Log

Ang bawat device o application ay bumubuo ng mga log sa sarili nitong syntax—maaari itong mula sa tekstong nababasa ng tao hanggang sa siksik na istrukturang JSON o XML. Para maging malinaw ang lahat ng ito sa mga gumagamit SIEMSa analysis engine ng 's, tinutukoy ng system ang source para sa bawat log at naglalapat ng parser na iniayon sa partikular na format na iyon. Hinahati-hati ng mga parser ang mga entry ng log sa mga indibidwal na field ng data, tulad ng timestamp, source IP, destination port, uri ng event, o user ID. Ang standardized schema na ito ay maaaring ihambing at suriin sa iba't ibang system.

Pagsusuri at Pag-alerto

Ang SIEM Nagsisimula ito sa pamamagitan ng pag-scan para sa mga paunang natukoy na pattern at indicator of compromise (IOC), tulad ng maraming nabigong pagtatangka sa pag-login, hindi pangkaraniwang paglilipat ng data, o pag-access mula sa mga naka-blacklist na IP address. Ang mga pattern na ito ay karaniwang naka-encode sa mga panuntunan sa pagtuklas o mga kaso ng paggamit na tumutugma sa mga partikular na banta, tulad ng mga brute-force attack o lateral movement.

Ang korelasyon ay isang mahalagang bahagi ng proseso ng pagsusuring ito. SIEMpinag-uugnay ng mga tila walang kaugnayang kaganapan sa iba't ibang sistema – tulad ng isang kahina-hinalang pag-login na sinusundan ng pagbabago ng configuration at isang malaking pag-download ng file. Kapag natuklasan ang isang koleksyon ng mga kahina-hinalang alerto, ang SIEM Nagpapadala ng alerto sa security team ng organisasyon, na siyang magbe-verify at magreremedyo sa pinagbabatayang panganib sa seguridad.

NDR laban sa SIEMDalawang Magkaibang Gamit

Dahil ang NDR at SIEM ay may bahagyang magkakaibang mga focal point, ang kanilang mga ideal na kaso ng paggamit ay lubhang nag-iiba. Isaalang-alang ang mga sumusunod:

Pag-detect ng Lateral Movement

Partikular na epektibo ang NDR sa pag-detect ng lateral na paggalaw dahil, hindi tulad ng mga tradisyunal na tool sa seguridad na lubos na umaasa sa mga log at data ng endpoint, tina-target ng NDR ang real-time na gawi ng mga device at user sa loob ng isang panloob na network- ginagawa itong partikular na sinanay upang makita ang mga banayad na palatandaan ng isang attacker na sumilip pagkatapos ng kompromiso.

Isang Pane ng Salamin

SIEMNagbibigay ang mga s sa mga koponan ng isang pane ng salamin, na pinagsasama-sama at pinagsasama-sama ang datos ng seguridad mula sa buong lawak ng mga asset ng isang organisasyon sa isang interface. Sa halip na magpalipat-lipat ang mga analyst sa pagitan ng maraming tool, na bawat isa ay sumasaklaw sa isang partikular na nakahiwalay na domain, isang SIEM pinagsasama-sama ang lahat sa isang plataporma.

SIEMSinusuportahan ng mga one-stop functionality na ito sa pamamagitan ng pag-aalok ng mga napapasadyang dashboard, real-time na alerto, mga timeline ng insidente, at mga feature sa pag-uulat sa loob ng isang naa-access na UI. Bilang resulta, maaaring pagsamahin ng mga team ang maraming bahagi ng kanilang mga workflow sa isa, at lubos na mapapadali ang pang-araw-araw na operasyon.

Pagsamahin ang Katumpakan ng NDR at SIEM Kakayahang Makita gamit ang Stellar Cyber's Open XDR Platform

Habang SIEM at NDR ay parehong makapangyarihang mga kagamitan, ang kanilang pinagsamang lakas ay nagbibigay-daan sa mga security team na i-map ang buong kadena ng pag-atake – mula sa paunang pagkakompromiso ng device hanggang sa paggalaw sa gilid at pag-deploy ng malware – at maghatid ng agarang remediation. Pinalawak na Pagtuklas at Tugon ng Stellar Cyber ​​(XDR) ang nagbibigay nito. Ang Stellar Cyber ​​ay gumaganap bilang isang Next-Gen SIEM, na nag-channel ng lahat ng device at network intel sa isang central analysis engine. Gayunpaman, sa halip na basta makabuo lamang ng mga alerto, ang Stellar Cyber ​​ay nagdaragdag ng isa pang layer ng pagtukoy sa banta, na nagkukumpulan ng mga alerto ayon sa partikular na insidente na nauugnay sa mga ito. Sa ganitong paraan, ang mga maling positibo ay ibinabawas, at ang mga tunay na alerto ay inima-map sa mga partikular na punto ng pagpasok ng isang umaatake at mga kasunod na interaksyon. Panghuli, ang mga insidenteng ito ay inihahatid sa buong security team ayon sa napapasadyang dashboard ng Stellar. Laktawan nang buo ang manu-manong interbensyon at mag-deploy ng mga automated playbook, o bigyan ang mga analyst ng makabagong visibility ng insidente. Galugarin ang Stellar Cyber ​​gamit ang isang demo, at simulan ang pagbuo ng iyong NDR at SIEM mga kakayahan.

Napakaganda ng tunog
maging totoo?
Tingnan mo sarili mo!

Humiling ng Isang Demo
Mag-scroll sa Tuktok
Mag-sign Up Para sa Mga newsletter