HOME > 解決方案

從EDR到XDR,就可以代替SIEM+SOAR嗎?

2021/10/15

揭開 XDR 炒作的神秘面紗


擴展式偵測和回應 (XDR) 最近引起了許多媒體、分析人員甚至是客戶的注意。不可否認的,從表面上看,除了能降低複雜性和成本,XDR 還宣稱可以增加偵測和回應能力,這的確很誘人。在安全部門努力實現安全工具現代化的同時,他們也想尋找解決方案應對一些最大的挑戰。XDR 會是答案嗎?XDR 究竟是什麼,又您如何確定它是否適用於您的組織?讓我們深入探討一下。

在過去十年的大部分時間裡,端點偵測和回應 (EDR) 一直是業界的黃金標準。它是由防毒技術進化而來,以應對繞過傳統檔案型和啟發式惡意軟體偵測的威脅。「您將成為受害者」的這個新現實,推動了對 EDR 的需要和需求。透過導入新的機器學習和行為分析,EDR 使安全分析人員能夠獲得端點更好的可見度和偵測,以便進行即時鑑識調查並更快速有效地回應威脅。但隨著威脅的複雜程度增加,EDR 只是鎖定端點的角度已經不夠,成了防禦有效性的限制。我們還需要來自網路偵測、威脅情報和其他安全工具的相關資料,才能改進偵測結果並提高回應速度。因此,擴展式偵測和回應 (XDR) 出現了。

很明顯,XDR 是從 EDR 擴展而來的。但仍待釐清的是,公認的 XDR 解決方案定義是什麼。開放式?封閉式?原生?混合?雖然目前有許多種方法,但各方都同意 XDR 應該將端點、雲端、網路、電子郵件、威脅情報和其他資料來源和控制項目整合到一處,以改進威脅偵測、調查和回應的能力。對於熟悉 Splunk 的人來說,這聽起來很像我們長久以來一直在做的事情。多年來,我們的安全資訊和事件管理 (SIEM) 安全協調、自動化和回應 (SOAR) 解決方案一直引領著安全市場。您可能會問,XDR SIEM/SOAR 解決方案之間有什麼區別?



XDR 非常適合用在特定的使用案例中,在資料來源有限的情況下增強偵測和回應的能力。但是,當威脅超出該使用案例和資料來源的範圍時該怎麼辦?Splunk 提供與 XDR 相同的效益,但不會受到使用案例和資料來源的限制,也無需在您已經非常繁雜的技術環境中再部署更多產品、入口網站和資料模型。除了進行威脅偵測、調查和回應 (TDIR) 之外,您還可以對所有資料進行索引和搜尋。我們將各種安全資料來源以及您的 IT 營運 (ITOps)開發營運 (DevOps),以及您可以想像的任何其他資料來源彙整在一起,以獲得最佳的可見度。這種等級的可見度對於找出今日最複雜攻擊的根本原因非常重要。簡言之,Splunk 為企業提供了解決當今挑戰所需的彈性,同時保持靈活性以因應未來的威脅和挑戰。
此外,我們認為 XDR 不應該拿來與 SIEM SOAR 比較。我們的看法是,XDR 是可與這些工具整合的資料來源和控制點,就像 EDR 一樣。事實上,我們現在就有客戶將他們的 XDR 解決方案與 Splunk 整合。XDR 有助於消除分析人員經常面對的一些雜音,而 Splunk 使團隊能夠解決除端點以外的使用案例。這是雙贏。

到頭來,您不會想學習和整合更多的產品類別和工具的;您想要擺脫工具變多和必須整合的負擔,而且厭倦了入口網站。您看過一個訓練有素的團隊的生產力下降,只因他們被資料管理員的工作壓得喘不過氣來。


這就是為什麼我們最近發表了 Splunk Security Cloud,這是適用於敏捷企業的安全營運平台。集中所有資料以提供進階分析,透過自動化和協調簡化營運,並與蓬勃發展的多樣化生態系統合作夥伴緊密合作,這才是現代安全營運的公式。

我們在 Splunk 的使命就是提高分析人員的工作效率。我們透過簡化整個 SOC 的工作流程來實現這一點——涵蓋威脅偵測到調查、回應、搜尋、情報共享等。我們可與您偏好使用的端點、雲端、網路、電子郵件和任何其他工具配合。包括 XDR



作者
Jane Wong

Jane Splunk 安全產品組合的產品副總裁,包括 Splunk Enterprise Security (SIEM)Splunk Phantom (SOAR)Splunk User Behavior Analytics (UEBA) 以及幾項新興的雲端安全服務,這些服務是追求 Splunk 顛覆性願景的基礎,讓每個人都可以取得、使用和發揮機器資料的價值。在 Splunk,我們有強烈的使命感,致力讓客戶可以從自己的資料獲得許多「驚喜」。

Jane 對安全充滿熱情,在過去十年中,她帶領團隊打造出許多資料遺失防護、網路和端點安全方面的市場領導性產品。不久之前,Jane Symantec 擔任工程和產品管理副總裁,負責電子郵件產品組合。在她職業生涯的早期,Jane 在企業技術公司擔任過各種工程職位,並獲得過多項專利。Jane 擁有倫敦大學的學士學位。

原文網址
https://www.splunk.com/en_us/blog/security/demystifying-the-hype-around-xdr.html