三足鼎立的SIEM、SOAR和XDR

如今，變化的安全挑戰、多態的IT架構、復雜的建設需求、嚴苛的合規審查……，甲方心力交瘁，乙方疲于奔命。傳統安全產品交付模式，投入大、成本高、難維護、效果差，完全無法應對。

網絡攻擊的增長導致合規要求更加嚴格。法案、標準、監管——所有的這些都需要組織來實現一組全面的安全控制,包括監測、審計和報告,所有這些都促進了SIEM系統。有近二十年的時間，安全信息和事件管理(SIEM) 平臺是唯一可以幫助安全團隊集檢測、調查和響應為一體的解決方案。

不幸的是，隨著時間的推移，SIEM 面臨著一系列挑戰。雖然SIEM曾經足夠好了，但它們在預防、檢測和響應不斷增長的攻擊面的威脅方面不再那么有效。此外，SIEM工具以價格昂貴、部署具有挑戰性以及操作和維護繁瑣而著稱。

(相關資料圖)

后來，許多機構在SIEM的基礎之上，通過安全編排、自動化和響應 (SOAR -Security Orchestration, Automation and Response) 解決方案聚合來自端點、電子郵件、云和其他系統的警報以提升其能力。SOAR解決方案支持自動化、編排和其他分析工具，從而可以集中管理與潛在威脅相關的關鍵信息。但SOAR也伴隨著高成本和復雜性，需要一個很成熟的安全運營中心 (SOC) 來實施并維護其與合作伙伴的集成和劇本。

SIEM和SOAR等解決方案在當今的網絡安全環境中已達到其極限，在預防、檢測和響應不斷增長的攻擊面的威脅方面不再有效。因此，機構正在轉向擴展檢測和響應 (XDR) ，以統一整個企業的威脅檢測和響應。事實上，60%的機構計劃在未來12個月內實施或進一步增加XDR 的使用。

但是這些解決方案之間有什么區別呢？哪個適合自己的組織？

什么是 SIEM？

SIEM不是一個單獨的工具或應用程序，而是一組不同的構建塊，它們都是系統的一部分，它是一個由多個監視和分析組件構成的安全系統。SIEM沒有標準的SIEM協議或已建立的方法，包括了聚合、處理和標準化、關聯、呈現、緩解和修復等五項元素。

SIEM負責收集、匯總、分析、存儲和報告自整個組織的大量日志數據，用于事件響應、取證和合規性，旨在幫助組織檢測和減輕威脅。雖然首字母縮略詞 SIEM 是 Gartner 在 2005 年首次創造的，但SIEM的基礎功能已經存在更長時間了。早在 1990 年代，有遠見的機構就認識到他們需要將不同源的安全日志整合到一個系統中，以便分析和滿足合規性要求。

SIEM工具聚合日志數據，從分布式自動收集和處理信息來源,并將它集中存儲,為SecOps團隊提供了統一的遙測資源。它還可以保留用于取證和合規目的的數據，并進行不同事件之間的關聯，跨系統查詢數據以進行威脅檢測和調查，并根據這些信息生成警報和報告，以及提供儀表盤等，以幫助 SecOps 員工按需監控環境，滿足審計要求。

然而，SIEM工具需要大量的微調和努力來實施，安全團隊也可能被來自SIEM的大量警報所淹沒，導致SOC忽視關鍵警報。此外，即使SIEM從幾十個來源和傳感器捕捉數據，它仍然是一個被動的分析工具，發出警報。

什么是 SOAR？

安全自動化是安全操作相關任務的自動處理，包括管理職責和事件檢測與響應。安全自動化使安全團隊能夠隨著工作負載的增長而相應擴展其能力。安全編排是一種連接安全工具和集成不同安全系統的方法，是簡化安全流程和支持自動化的連接層。目前有66% 的分析工程師認為他們的一半任務可以自動化。出于這個原因，一些機構轉向了SOAR平臺。

SOAR通常被用作為SIEM系統的擴展，可以提供劇本將分析師常用工作流程自動化，并可幫助實施“安全中間件”，允許不同的安全工具進行通信。SOAR通過豐富數據、改進警報分類和自動執行重復性任務來改進 SOC 流程。

但是，SOAR很復雜，成本很高，需要一個高度成熟的SOC來實施和維護合作伙伴的集成和操作手冊。

什么是擴展檢測和響應（XDR）？

XDR是一種安全產品集成套件，能夠全面跨越混合型IT架構（涵蓋局域網、廣域網、基礎設施即服務乃至數據中心等），實現威脅預防、檢測與響應等要素的互操作與協調功能。換句話說，XDR正努力把控制點、安全遙測、分析與操作整合到統一的管理系統中。

安全行業正經歷著轉向XDR這個新型解決方案的過程。因為XDR聚合了整個企業的安全數據，所以有些人可能會認為它只是 SIEM 的進化版本。但事實卻是XDR遠遠超出了傳統 SIEM的特征，它通過更有效的安全能力、更快的工作流程、更好的事件管理和更高的可見性提供了有形價值。

XDR 一詞于2018年首次引入，指的是新一代安全解決方案。分析公司 Gartner 將其描述為“威脅檢測和事件響應工具，將多種安全產品原生集成到一個有凝聚力的安全操作系統中”。XDR中的“X”代表對整個IT生態系統保護的集成和擴展，從而比以往任何時候都更進一步地“擴展”了保護。XDR的前身是端點檢測和響應 (EDR)，EDR專注于監控和保護組織機構免受端點威脅。隨著數據越過邊界，XDR有必要將保護范圍擴展到網絡、服務器、云以及端點。

XDR承諾以開箱即用的自動操作快速應對各類繁瑣枯燥的安全任務。在這方面，我們也可以把XDR理解成一種低成本的交鑰匙型安全協調與響應（SOAR）解決方案。

XDR 能提供高級檢測、快速響應和直觀的自動化，可滿足大多數客戶的需求，而無需 SIEM 不可預測的定價或第三方 SOAR 解決方案的額外成本。通過將多個安全工具整合到一個威脅檢測和響應平臺中，XDR 緩解了管理多個獨立解決方案所需要的時間、精力及格外的復雜性。

比較SIEM 、SOAR 和 XDR

SIEM非常適合收集和分析大量日志和其他數據。對SIEM進行了大量投資的機構可能仍會選擇將其用于合規性和審計的目的——尤其是在金融和醫療保健等面臨嚴格監管審查的行業。但是SIEM技術是在2000年代中期首次引入的，當時的威脅形勢與現在大不相同。雖然SIEM曾經滿足過當時的需要，但面對不斷增長的攻擊面威脅，它在預防、檢測和響應不再那么有效了。

SIEM用戶面臨著一系列的挑戰，包括不可預測的成本、過多的噪音以及有限的檢測和響應能力。運行SIEM需要高度專業化的工作人員，不僅需要構建SIEM，還要開發檢測分析功能。對于想要完善其安全程序并提高其對攻擊做出反應和響應能力的公司而言，XDR是一種更具成本效益且量身定制的解決方案。

XDR可以作為一個互連系統，使環境中的各個方面都獲益于威脅情報，而不會帶來任何共擔風險或格外成本。XDR可以對目標攻擊提供更有效的檢測和響應，包括對行為分析、事件響應、威脅情報和自動化的原生支持。

SOAR解決方案將SOC核心流程自動化，從而只需要更少的資源和時間實現更高效的響應。增加的效率幫助機構減少了平均響應時間 (MTTR - mean time to respond)。而快速響應可減少滯留時間，快速遏制入侵者，限制攻擊的影響。SOAR對SIEM有很大價值的補充。

相比之下，XDR內置威脅檢測、調查和響應(TDIR)用例包，提供了規范工作流和數據源、檢測模型、監視列表、調查清單和響應等內容。XDR能夠提供高級檢測、快速響應和直觀的自動化，可以滿足大多數客戶的需求，而無需增加SOAR解決方案所帶來的成本。XDR自動關聯、確定優先級和驗證警報，使安全團隊能夠高效地處理最緊迫的威脅。它還提供內置的安全調查工作流程和自動化劇本，有助于簡化調查并加快響應行動。簡而言之，XDR超越了端點，旨在成為 "SOAR-lite"：一個簡單、直觀、零代碼的解決方案和輕量化工具，提供從XDR平臺到連接安全工具的可操作性。根據來自更多產品的數據做出決策，并可以通過對電子郵件、網絡、身份和其他方面采取行動，在你的堆棧中采取行動。除此之外，XDR還可有效降低長期折磨安全人員的大量警告噪音，減輕手動工作的負擔并節省分析師的寶貴時間。

XDR目前仍是一個新興的安全領域，結合了安全信息和事件管理(SIEM)、安全編排自動化和響應(SOAR)、端點檢測與響應(EDR)以及網絡流量分析(NTA)，集中安全數據和事件響應，是一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測的方法。XDR平臺旨在解決SIEM工具的挑戰，以有效地檢測和應對目標攻擊，包括行為分析、威脅情報、行為剖析和分析。此番行動不禁讓大家聯想到，SIEM是否會就此轉向XDR。而XDR和SIEM并不是融合，而是相互碰撞。XDR目前并不能取代安全分析平臺或安全信息和事件管理(SIEM)解決方案，目前還是一個共存的局面。而安全分析平臺可以幫助XDR增強威脅檢測能力。

SIEM、SOAR、XDR的比較如下：

XDR的快速發展，SIEM領域終于有了真正的競爭對手，這對于SIEM廠商來說既是挑戰，也是機遇，因為安全行業最能夠拉開差距的就是技能方面的差異。

參考來源：Understanding the Difference Between SOAR vs SIEM vs XDR

關鍵詞：