XDR, SIEM und SOAR im Vergleich

Braden Russell - November 3, 2022

In einem aktuellen Blog-Artikel schrieb Forrester-Analystin Allie Mellen, dass es bis vor Kurzem

„keinen glaubwürdigen und neutralen Erklärungsansatz dafür gab, was XDR ist und was es von einer Sicherheitsanalyse-Plattform unterscheidet. Dies führte bei den Kunden zu Irritationen und dazu, dass sie XDR als bloßes Marketing-Schlagwort für Cybersicherheit abtun.“

Was ist also XDR? Kann es SIEM und SOAR vollständig ersetzen? Worauf sollten Unternehmen bei einer XDR-Lösung achten? In diesem Artikel beantworten wir diese und weitere häufig gestellte Fragen, damit sich Sicherheitsexperten im komplexen und hart umkämpften Markt für Lösungen besser zurechtfinden können. Bevor wir jedoch auf die Besonderheiten dieser Systeme eingehen, beantworten wir zunächst einige grundlegende Fragen:

  • Was ist XDR?
  • Was ist SIEM?
  • Was ist SOAR?

Was ist XDR?

Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist die Weiterentwicklung von Endpunktbasierter Detektion und Reaktion (Endpoint Detection and Response, EDR). XDR verfolgt bei der Erkennung und Abwehr von Bedrohungen einen ganzheitlichen Ansatz und vereinfacht die Erfassung und Analyse von Sicherheitsdaten. Zudem optimiert XDR die Präventions- sowie Behebungsabläufe in der gesamten Sicherheitsumgebung eines Unternehmens. Dank einer zentralen Konsole für Bedrohungsdaten kann das Sicherheitsteam mühelos verborgene und hochentwickelte Bedrohungen aufdecken sowie komplexe mehrstufige Reaktionsmaßnahmen für das gesamte Sicherheitstechnologiepaket automatisieren. XDR wird häufig in zwei Kategorien eingeteilt: offenes XDR und natives XDR.

XDR-Funktionen:

  • Erfassung, Korrelation und Analyse der Daten von Endgeräten, Cloud-Workloads, Netzwerken und E-Mails mittels hochentwickelter Automatisierungs- und KI-Tools (künstliche Intelligenz)
  • Priorisierung von Daten und Bereitstellung von Erkenntnissen in einem normalisierten Format über eine zentrale Konsole
  • Koordinierung isolierter Sicherheitstools, indem die Sicherheitsanalyse, die Untersuchung und die Behebung in einer konsolidierten Konsole einheitlich zusammengefasst und optimiert werden
  • Kann im Rahmen einer verwalteten Lösung Zugriff auf das Know-how erfahrener Experten aus den Bereichen Bedrohungssuche, Bedrohungsdaten und Analysen umfassen

Folglich trägt XDR zur erheblichen Verbesserung der Einblicke in Bedrohungen, Beschleunigung von Sicherheitsabläufen und Senkung der Gesamtbetriebskosten bei. Zudem wird damit die ständige Belastung der Sicherheitsteams verringert.

Was ist SIEM?

Sicherheitsinformations- und Ereignismanagement (SIEM) ist ein Paket aus Tools und Services, das Funktionen für Sicherheitsereignismanagement (SEM) und Sicherheitsinformationsmanagement (SIM) in sich vereint. SIEM ermöglicht es Analysten, Protokoll- und Ereignisdaten zu überprüfen, Bedrohungen nachzuvollziehen und entsprechende Schutzvorkehrungen zu treffen sowie Protokolldaten abzurufen und in Berichten zusammenzustellen.

SIEM-Funktionen:

  • Erfassung von Protokolldaten aus dem gesamten Unternehmen, Nutzung von Daten zur Identifizierung, Kategorisierung sowie Analyse von Zwischenfällen und Ereignissen
  • Einblicke in schädliche Aktivitäten durch Heranziehen von Daten aus allen Bereichen einer Umgebung, darunter alle Netzwerkanwendungen sowie Hardware
  • Zusammenführung aller Daten in einer zentralen Plattform
  • Nutzung von Daten zur Erstellung von Warnungen und Berichten sowie zur Unterstützung der Reaktion auf Zwischenfälle

SIEM ermöglicht es Unternehmen, zu jeder Zeit Daten aus allen Netzwerkanwendungen und der Hardware zu analysieren. Dadurch können potenzielle Sicherheitsbedrohungen erkannt werden, bevor diese die Gelegenheit haben, die Geschäftsabläufe zu stören.

Was ist SOAR?

Security Orchestration, Automation and Response (SOAR) bezeichnet eine Reihe von Software-Programmen, die zur Stärkung der Cybersicherheit von Unternehmen entwickelt wurden. Eine SOAR-Plattform ermöglicht es Sicherheitsanalysten, Daten aus verschiedenen Quellen zu überwachen, einschließlich Sicherheitsinformations- und Managementsysteme sowie Bedrohungsanalyse-Plattformen.

SOAR-Funktionen:

  • Erfassung von Bedrohungsinformationen, Automatisierung typischer Reaktionen und Triagierung komplexer Bedrohungen, um die Notwendigkeit menschlicher Eingriffe zu minimieren
  • Vereinigung von drei Softwarelösungen – Bedrohungs- und Schwachstellenverwaltung, Reaktion auf Sicherheitszwischenfälle sowie Automatisierung von Sicherheitsabläufen – zur Stärkung und Optimierung der Sicherheit
  • Nutzung von manuellen Eingriffen durch Menschen sowie Machine-Learning-Technologie, um eingehende Sicherheitsdaten zu analysieren und Aktionen zur Reaktion auf Zwischenfälle zu priorisieren

Der Zweck einer SOAR-Plattform ist die Erfassung bedrohungsbezogener Daten und die Automatisierung der Reaktion auf Bedrohungen. Mit einer SOAR-Plattform kann Ihr Sicherheitsteam die Effizienz und Reaktionszeit verbessern.

XDR Is On A Collision Course With SIEM And SOAR

Laden Sie den Bericht herunter und erfahren Sie, welche enormen Verbesserungen XDR bei der Erkennung und Reaktion bietet, sodass schnellere und effizientere Sicherheitsabläufe ermöglicht werden.

Jetzt herunterladen

Was sind die entscheidenden Unterscheide zwischen SIEM, SOAR und XDR?

Laut dem Forrester-Bericht Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR (der auf der CrowdStrike-Webseite heruntergeladen werden kann) sind XDR, SIEM und SOAR für ähnliche Anwendungsszenarien entwickelt worden, verfolgen jedoch grundsätzlich verschiedene Ansätze.

SIEM ist primär ein Tool zur Protokollerfassung, das Compliance, Datenspeicherung sowie Analysen unterstützen soll. Funktionen zur Sicherheitsanalyse werden auf SIEM-Lösungen häufig nur aufgesetzt. Zudem können damit Bedrohungen nur dann ordnungsgemäß identifiziert werden, wenn eine zusätzliche Sicherheitsanalysefunktion ausgeführt wird, die auf einem enormen Datensatz basiert.

Wie oben erwähnt, enthält SOAR SIEM-Funktionen zur Orchestrierung, Automatisierung und Reaktion und ermöglicht die Koordinierung mehrerer Sicherheitstools. Allerdings sind mit den bidirektionalen Verbindungen bereits alle Vorteile von SOAR aufgezählt. SOAR ist zwar eine wertvolle Technologie, doch sie kann die Herausforderungen bei der Analyse großer Datenmengen nicht lösen. Zudem kann SOAR Daten und Systeme nicht allein schützen.

XDR wurde entwickelt, um die durch SIEM und SOAR entstandene Lücke mithilfe eines völlig anderen Ansatzes zu schließen, der auf Endgerätedaten und Optimierung beruht. XDR besitzt hochentwickelte Analysefunktionen, die es Unternehmen ermöglichen, sich auf die Ereignisse mit der höchsten Priorität zu konzentrieren und schnell zu reagieren.

Häufige Fragen zu SIEM, SOAR und XDR

Welche Beziehung besteht zwischen SIEM und SOAR?

In vielen Fällen werden SOAR und SIEM zusammen eingesetzt, da sich diese Plattformen ergänzen und zusammen als Teil eines zweistufigen Prozesses zur Verbesserung der allgemeinen Sicherheitsabläufe beitragen können.

  1. Der Zweck einer SIEM-Software-Lösung besteht innerhalb des Bereichs der Cybersicherheit ausschließlich in der Erfassung und dem Versand von Warnungen an das Sicherheitsteam, das dann die entsprechenden Untersuchungen durchführt.
  2. Das SOAR-Tool verwendet Daten zu Sicherheitsproblemen, um die Reaktion zu automatisieren, und nutzt auch künstliche Intelligenz, um ähnliche Bedrohungen in Zukunft vorherzusagen und darauf zu reagieren.

SOAR und SIEM haben im Grunde die gleiche Beziehung wie ein Assistent und ein Manager. Die SIEM-Lösung erfasst und korreliert Protokolle, um Ereignisse zu ermitteln, die einer Warnung bedürfen. Das SOAR-Tool kann vom SIEM-Tool Daten erhalten und dann Lösungen erarbeiten.

Kurz gesagt verfügen SIEM-Plattformen über Protokoll-Repository- und Analysefunktionen, die SOAR-Plattformen in der Regel nicht bieten. SOAR wiederum besitzt Reaktionsfunktionen, die SIEM nicht hat. Ohne SOAR müssten Sicherheitsteams mit verschiedenen Schnittstellen außerhalb der SIEM-Lösung arbeiten, um die vom SIEM produzierten Daten und Einblicke verwerten zu können.

Ist XDR ein Ersatz für SIEM und SOAR?

Nein. XDR bietet Unternehmen zwar neue Sicherheitsfunktionen und einen besseren Schutz, kann jedoch SIEM oder SOAR nicht vollständig ersetzen.

XDR kann SIEM nicht ersetzen, da SIEM auch Anwendungsszenarien über die Bedrohungserkennung hinaus abdeckt. Darunter fallen beispielsweise Protokollverwaltung, Compliance sowie die Analyse und Verwaltung von Daten, die nichts mit Bedrohungen zu tun haben. Häufig kann XDR bedrohungsbezogene Anwendungsszenarien erfüllen und SIEM in dieser Hinsicht ersetzen. Dennoch gibt es andere Anforderungen in Unternehmen, die vom SIEM erfüllt werden müssen.

SOAR hingegen bietet wertvolle Orchestrierungsfunktionen, die das Sicherheitsteam bei der Optimierung von Ressourcen und Priorisierung von Aktivitäten unterstützen. In der Regel besitzt eine XDR-Lösung keine dieser Funktionen, weshalb das SOAR-System beibehalten und in die XDR-Lösung integriert werden sollte.

Benötigt mein Unternehmen alle drei Tools: SIEM, SOAR und XDR?

Ja – allerdings nicht unbedingt nur zu Sicherheitszwecken. Im Verlauf dieses Artikels sind wir auf die verschiedenen Sicherheitsfunktionen von SIEM, SOAR und XDR eingegangen und haben erläutert, wie diese Tools gemeinsam eine äußerst umfassende und robuste Sicherheitslösung bilden und zudem andere Anwendungsszenarien abdecken. Wenn Unternehmen eine dieser drei Funktionen ignorieren, wächst die Gefahr von Kompromittierungen und anderen Sicherheitsereignissen. Außerdem können andere geschäftliche Anforderungen zu kurz kommen.

Falcon XDR überzeugt

Obwohl XDR als das neueste und beste Sicherheitstool angepriesen wird, herrscht auf dem Markt und sogar unter Analysten immer noch sehr viel Unklarheit darüber, was eine XDR-Lösung wirklich ausmacht.

Wie George Kurtz – Gründer und CEO von CrowdStrike – bereits in seinem Blogartikel Falcon XDR: Why You Must Start With EDR to Get XDR erläutert hat, bringt die Einführung von Falcon XDR dringend benötigte Klarheit in den XDR-Markt. Falcon XDR vereint erstklassige Bedrohungssuche, Machine Learning (ML), künstliche Intelligenz (KI) und Angriffsindikatoren (IOAs) mit Drittanbieter-Datenquellen, um Ereignisse zu korrelieren und Bedrohungen in Echtzeit zu erkennen.

Falcon XDR bietet Sicherheitsteams folgende Vorteile:

  • Einheitliche Sicherheitsdaten für Erkennung und Reaktion: Falcon XDR nutzt externe Daten (z. B. aus Netzwerksicherheit, E-Mail-Sicherheit, Websicherheit, Cloud-Sicherheit und CASB (Cloud Access Security Broker)) von Drittanbietern (z. B. CrowdXDR Alliance-Partner) und korreliert diese mit den Daten der CrowdStrike Security Cloud, um die Echtzeit-Bedrohungserkennung, Untersuchung, Reaktion und Bedrohungssuche zu optimieren.
  • Schnell zu den richtigen Antworten: Falcon XDR beschleunigt dank einer zentralen Konsole die Triagierung und Untersuchung für das Sicherheitskontrollzentrum (Security Operations Center, SOC) und für Threat Hunter. Die Lösung ermöglicht die präzise Priorisierung von Warnungen, eine flexible Suchaufgabenplanung, die Anpassung von Erkennungen und bietet vollständigen Angriffskontext sowie eine interaktive Visualisierung von Diagrammen.
  • Verwandeln Sie XDR-Einblicke in Maßnahmen: Um die Reaktionsmaßnahmen für alle Sicherheits-Workflows zu koordinieren und zu automatisieren, wurde das SOAR-Framework Falcon Fusion direkt in die Falcon-Plattform integriert. Das Sicherheitsteam kann die Effizienz der SOC- und IT-Abläufe durch die Erstellung von Funktionen zur Echtzeit-Benachrichtigung und Reaktion steigern. Zudem stehen anpassbare Trigger zur Verfügung, die auf Erkennungs- und Zwischenfallkategorien basieren.
  • Gesteigerte Effizienz im Sicherheitskontrollzentrum: Falcon XDR korreliert automatisch und bietet hochwertige Erkennungsdaten aus den vorhandenen Sicherheitslösungen. Die Lösung sorgt für eine deutlich schnellere Untersuchung und Bedrohungssuche, da sie eine gemeinsame Suchoberfläche für die CrowdStrike Security Cloud bietet.
  • Höhere Rendite vorhandener Sicherheitsinvestitionen: Falcon XDR deckt verwertbare Einblicke aus Daten auf, die vorher in isolierten Sicherheitsprodukten des gesamten IT-Lösungspakets verborgen waren.

Weitere Informationen zu den Alleinstellungsmerkmalen von Falcon XDR finden Sie auf unserer Falcon XDR-Produktseite und in unserem Datenblatt.

INFORMATIONEN ZUM AUTOR