E-Mail-Sicherheit

    XDR vs. SIEM vs. SOAR: Was braucht Ihr Unternehmen?

    XDR-, SIEM- und SOAR-Tools verfolgen unterschiedliche Ansätze bei der Analyse und Reaktion auf Sicherheitsereignisse. Erfahren Sie, welches Tool das richtige für Sie ist - und wie sie zusammen noch leistungsfähiger werden können.

    by Julian Martin
    69BLOG_1.jpg

    Wichtige Punkte

    • Während SIEM den Schwerpunkt auf die Erkennung und SOAR auf die Reaktion legt, zielt XDR darauf ab, beides zu tun.
    • Aber XDR enthält noch nicht die wertvollen Compliance-Funktionen von SIEM oder die Reaktionsorchestrierung von SOAR.
    • Im Moment könnte die beste Wahl für die Sicherheitsanalyse und -reaktion darin bestehen, alle drei Tools zu integrieren.

    Unternehmen sind heute mit mehr Sicherheitsbedrohungen für E-Mail und Zusammenarbeit konfrontiert als je zuvor - und sie müssen diesen Bedrohungen zunehmend mit personell unterbesetzten Cybersecurity-Teams begegnen. 

    In diesem Umfeld ist es für Unternehmen von Vorteil, wenn sie über die richtigen Sicherheitsinstrumente verfügen. Wenn es darum geht, Sicherheitsbedrohungen zu erkennen, auf sie zu reagieren und proaktive Schritte zu unternehmen, um sie in Zukunft zu vermeiden, haben Unternehmen viele Möglichkeiten.

    Sicherheitsanbieter beschreiben ihre Produkte, die Sicherheitsvorfälle analysieren und darauf reagieren, in der Regel auf eine von drei Arten:

    • Erweiterte Erkennung und Reaktion (XDR).
    • Sicherheitsinformationen und Ereignisverwaltung (SIEM).
    • Security Orchestration and Response (SOAR).

    Jede Art von Produkt bietet ihre eigenen Vorteile. XDR ist entscheidend für die Sicherung von E-Mails, die nach wie vor der wichtigste Übertragungsweg für heutige Cyberangriffe sind, während SIEM wertvolle Funktionen für die Datenaufbewahrung und die Einhaltung von Vorschriften bietet und SOARmit seinen Orchestrierungsfunktionen bei der Ressourcenverwaltung hilft. Die E-Mail-Sicherheitsplattform von Mimecast lässt sich mit Tools wie diesen integrieren, um eine effektivere Erkennung zu ermöglichen und den manuellen Aufwand zu reduzieren.

    Eine Einführung in XDR, SIEM und SOAR

    Werfen wir einen genaueren Blick auf XDR-, SIEM- und SOAR-Tools, um zu verstehen, worin sie sich unterscheiden und wie sie sich gegenseitig ergänzen können.

    • Was ist XDR? Betrachten Sie XDR als die Weiterentwicklung von Endpoint Detection and Response (EDR). Während sich EDR ausschließlich auf Endgeräte wie Laptops, Smartphones und andere Geräte konzentriert, geht XDR einen Schritt weiter und bezieht Daten aus einer Reihe von traditionell isolierten Überwachungssystemen wie E-Mail-Sicherheit, Netzwerksichtbarkeit, Cloud-Workload-Schutz sowie Identitäts- und Zugriffsmanagement. Sicherheitsteams können mehr Bedrohungen erkennen und effektiver reagieren, während weniger Fehlalarme auftreten, da sie ein vollständigeres Bild von den Vorgängen in der gesamten IT-Infrastruktur ihres Unternehmens haben. XDR-Tools können nativ (beschränkt auf das Angebot eines einzigen Anbieters) oder hybrid (offen für die Integration mit anderen Best-of-Breed-Anbietern) sein. 
    • Was ist SIEM? SIEM kombiniert die Funktionen des Sicherheitsinformationsmanagements und des Sicherheitsereignismanagements und protokolliert Daten von Systemen wie Antivirensoftware und Intrusion Detection. Die nativen Analysefunktionen sind begrenzt, aber Plug-ins, die auf maschinellem Lernen basieren, ermöglichen es, typische Nutzer- und Geräteverhalten zu modellieren, um verdächtige Aktivitäten besser zu erkennen.[1] Darüber hinaus benötigen Unternehmen möglicherweise mehrere SIEM-Tools, um einen vollständigen Überblick über die Bedrohungslandschaft zu erhalten, der sie ausgesetzt sind.
    • Was ist SOAR? Wie der Name schon andeutet, liegt der Schwerpunkt von Security Orchestration and Response auf der Automatisierung von Abhilfemaßnahmen und Reaktionen sowie auf dem Triasing komplexerer Bedrohungen. Das Hauptziel besteht darin, den Bedarf an menschlichen Eingriffen zu minimieren und den gesamten Sicherheitsansatz eines Unternehmens zu rationalisieren.[2] Da SOAR-Tools für die Aufnahme von Daten eingerichtet sind, können sie als eigenständige Produkte oder als Zusatz zu einem SIEM-Tool dienen. Viele Unternehmen entscheiden sich für Letzteres, da SOAR in der Regel keinen Wert auf Ereignisprotokolle oder Analysen legt.

    XDR vs. SIEM vs. SOAR: Hauptunterschiede

    Im Grunde zielen XDR, SIEM und SOAR alle auf die Analyse von Sicherheitsereignissen und die Reaktion darauf ab. Der Unterschied besteht darin, wie die einzelnen Tools an das Problem herangehen. Der einfachste Weg, diese Unterschiede zu verstehen, besteht darin, die einzelnen Gerätetypen nebeneinander zu vergleichen.

    SOAR vs. SIEM

    SOAR und SIEM sollen sich in mehrfacher Hinsicht ergänzen. SIEM-Tools dienen der Protokollierung von Sicherheitsereignissen und liefern Warnmeldungen und Analysen an Sicherheitsteams. SOAR-Tools nehmen Daten aus vielen Quellen auf, einschließlich, aber nicht beschränkt auf SIEM-Tools, und ermöglichen automatisierte Reaktionen auf Bedrohungen. SOAR verarbeitet im Wesentlichen die Informationen, die SIEM liefert.

    Die Kombination aus Protokollierung und Analyse von SIEM und automatisierter Reaktion von SOAR kann sehr wirkungsvoll sein: Sie ermöglicht es den Sicherheitsteams, ihre Bemühungen auf Aufgaben mit hoher Priorität zu konzentrieren, die mehr Problemlösung und kritisches Denken erfordern als die Reaktion auf Vorfälle. Andererseits sind die Tools nur dann wirklich effektiv, wenn sie vollständig integriert sind - und selbst dann bieten sie möglicherweise keinen Einblick in das gesamte Spektrum der Punktlösungen in der IT- und Sicherheitsinfrastruktur und den Anwendungen.

    Leider kann sich die Integration von SIEM- und SOAR-Lösungen als komplex und kostspielig erweisen. Darüber hinaus sind SIEM-Tools aufgrund der begrenzten Arten von Datenquellen, die sie verarbeiten können, anfällig für Fehlalarme. Wenn SOAR-Systeme so eingerichtet sind, dass sie auf der Grundlage von Informationen, die sie von SIEM-Systemen erhalten, Maßnahmen ergreifen, kann dies dazu führen, dass viele automatische Reaktionen auf Vorfälle eine manuelle Übersteuerung erfordern. 

    SIEM vs. XDR

    XDR wurde entwickelt, um das gesamte Spektrum der Sichtbarkeit zu gewährleisten. Damit wird eine kritische Lücke geschlossen, die sowohl bei SIEM als auch bei SOAR vorhanden ist, die dazu neigen, Daten von Sicherheitsüberwachungs-Tools und nicht von den Endpunkten selbst zu beziehen. 

    Darüber hinaus vereint XDR die Erkennung, Untersuchung und Reaktion auf Bedrohungen in einer einzigen, zentralisierten Lösung. Dies geht einen Schritt weiter als SIEM, das in erster Linie Vorfälle protokolliert und analysiert und nur dann auf sie reagieren kann, wenn ein Plug-in oder Add-on aktiviert wurde. Schließlich können die Analysefunktionen der nächsten Generation von XDR auch "langsame" Cyberangriffe aufdecken, die monatelang unentdeckt bleiben sollen und sich im Laufe der Zeit manifestieren - etwas, wozu herkömmliche SIEM-Tools möglicherweise nicht in der Lage sind. Es heißt, dass Unternehmen, die XDR-Technologien einsetzen, Datenschutzverletzungen 10 % schneller erkennen und 9 % weniger für die Behebung einer Verletzung ausgeben als Unternehmen, die keine XDR-Technologien einsetzen.[3]

    Allerdings können die ausgefeiltesten SIEM-Tools von heute Dinge tun, die XDR nicht kann. XDR konzentriert sich weitgehend auf die Erkennung von und die Reaktion auf Bedrohungen. SIEM bietet Funktionen wie Protokollverwaltung, Datenaufbewahrung und Einhaltung von Vorschriften und Standards - all das liegt außerhalb des Bereichs, den XDR abdecken kann. 

    SOAR vs. XDR

    Der Schwerpunkt von XDR auf Aufdeckung, Untersuchung und Reaktion verschafft XDR ebenfalls einen Vorsprung gegenüber SOAR, das in erster Linie auf die Reaktion ausgerichtet ist. XDR erweitert die Automatisierung auch über die Reaktion auf Bedrohungen hinaus und automatisiert die Ursachenanalyse und die Erstellung von Arbeitsabläufen. Skripte zur Workflow-Automatisierung helfen Sicherheitsteams bei der Einrichtung von benutzerdefinierten Warnmeldungen und Reaktionsprozessen, während SOAR-Tools in der Regel eine manuelle Entwicklung und Bereitstellung von Reaktions-Playbooks erfordern.

    Gleichzeitig steht das "O" in SOAR für Orchestrierung. Wie XDR bietet auch SOAR Einblick in Sicherheitsbedrohungsdaten aus verschiedenen Quellen. Die Orchestrierung geht noch einen Schritt weiter und unterstützt Unternehmen bei der Vereinfachung von Sicherheitsabläufen, indem sie Prioritäten setzt und Ressourcen dort einsetzt, wo sie am besten gebraucht werden. Dies ist bei XDR-Tools nicht immer der Fall.

    Finden Sie die beste Lösung für Ihr Unternehmen

    In einem Bericht aus dem Jahr 2021 schlug Forrester vor, dass sich XDR "auf Kollisionskurs" mit SIEM und SOAR befindet, da XDR in der Lage ist, dort anzuknüpfen, wo beide in der Regel versagt haben.[4] Die obigen Vergleiche scheinen diesen Punkt zu verdeutlichen: Während SIEM-Anwendungsfälle den Schwerpunkt auf die Erkennung und SOAR-Anwendungsfälle auf die Reaktion legen, zielt XDR auf beides ab.

    Doch wie so oft bei der Erkennung von und Reaktion auf Bedrohungen ist ein integriertes Ganzes mehr als die Summe seiner Teile. Dies gilt insbesondere deshalb, weil XDR neu auf dem Markt ist und wahrscheinlich weder SIEM noch SOAR innerhalb der nächsten Jahre ersetzen wird, so Forrester. Mit anderen Worten: XDR funktioniert gut für sich allein, ist aber noch leistungsfähiger, wenn es in einer Best-of-Breed-Integration mit SIEM- und SOAR-Tools kombiniert wird.

    Dies ist die Philosophie, die hinter dem Mimecast-Netskope-Rapid7 Triple Play steht. Das Triple-Play-Angebot vereint Point-Monitoring-Lösungen wie Mimecast Secure Email Gateway und Netskope Intelligent Security Service Edge und integriert sie mit branchenführenden XDR-, SIEM- und SOAR-Tools von Rapid7. Durch ihre Integration tauschen die Systeme der Anbieter Informationen nahezu in Echtzeit aus. Dadurch werden menschliche Eingriffe und benutzerdefinierte Datenintegrationstools reduziert, die die Arbeit mit SIEM und SOAR in der Vergangenheit zu einer Herausforderung gemacht haben. 

    Die Quintessenz

    Die Unterschiede zwischen den heutigen XDR-, SIEM- und SOAR-Tools zeigen, dass die beste Option für ein Unternehmen zur Erkennung, Analyse und Reaktion auf Cyber-Bedrohungen darin besteht, alle drei Tools optimal zu nutzen. Bei der Sondierung der Möglichkeiten sollten Unternehmen unbedingt Tools in Betracht ziehen, die mit einem offenen Architekturmodell entwickelt wurden, wie z. B. eine hybride XDR-Lösung. Da sich die offene Architektur nicht ausschließlich auf proprietäre Technologien stützt, können Unternehmen Best-of-Breed-Tools wie die Produkte von Mimecast und Bedrohungsdaten zu E-Mail, der Quelle von 90 % der heutigen Cyberangriffe, integrieren. Dadurch wird sichergestellt, dass die integrierte Suite aus XDR-, SIEM- und SOAR-Tools die Daten nutzen kann, die sie benötigt, um den besten Schutz vor den heutigen Herausforderungen der Cybersicherheit zu bieten. Erfahren Sie mehr über die Integrationsstrategie von Mimecast.


    [1] "SIEM vs. SOAR vs. XDR: Bewerten Sie die Unterschiede," TechTarget

    [2] "XDR vs. SIEM vs. SOAR," CrowdStrike

    [3] "Cost of a Data Breach Report 2022," IBM

    [4] "Adapt Or Die: XDR Is on a Collision Course with SIEM and SOAR," Forrester

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang