从安全角度来看，即使是小型企业也代表着庞大的互连设备网络。端点设备只是冰山一角——一般公司在任何时候都会依赖数十万个端点设备。无论是员工笔记本电脑还是云虚拟机，您的公司都依赖于不断的信息交换。然后，您就拥有了保持数据流动的所有周围基础设施：负载均衡器、数据存储和 API——仅举几例。 随着网络规模不断扩大，不良行为者越来越能够钻空子。这些组件中的每一个都在保持每个人的高效和相互联系方面发挥着自己的作用。然而，作为安全专业人员，种类繁多的设备和网络可能会成为持续压力的来源。这种情况的实时影响是严重的：除了令人震惊的高员工流失率之外，安全团队还依赖于庞大且不同的技术堆栈，因为他们希望在混乱中创造秩序。 本文将研究两种 SOC 技术——安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR)——并比较如何使用每种技术来简化和优先处理手头的 TB 信息。

什么是 SIEM 及其工作原理？

为了对杂乱无章的设备、防火墙和交换机保持一定程度的洞察力，SIEM 解决方案最初会利用一个共同点——日志。日志是小文件，其中包含有关应用程序或服务器内部工作的信息，例如错误、连接和事件。虽然这些在开发中已经很常见了相当长一段时间，但 SIEM 应用程序是第一个让安全团队更深入地了解应用程序运行状况的应用程序。 SIEM 诞生于 2005 年，发展迅速：早期的系统只不过是日志收集工具，而现代产品可以近乎实时地聚合和分析这些数据。因此，配置良好的 SIEM 能够消除无尽日志的噪音，并提醒安全管理员应注意的事件。这个过程是通过规则来实现的。欲了解更多信息，请参阅我们的指南“ 什么是 SIEM？ 和 SIEM 规则允许将原始日志数据转换为操作。为了实现这一目标，SIEM 结合并交织了两种分析形式：关联规则和模型。关联规则只是告诉您的 SIEM 系统哪些事件序列可能表明存在攻击，并在出现问题时通知您的管理团队。 虽然 SIEM 工具为安全专业人员提供了无与伦比的日志可见性，但仍然存在两个相当大的问题：首先，许多系统要么不生成日志，要么无法输入 SIEM 工具，其次，基于规则的方法会影响安全性团队被不重要的警报淹没。 XDR 解决方案不是单一的现成工具，而是多个安全概念的集合。最终，XDR 系统的目标是通过检查来自端点、电子邮件系统、网络、物联网设备和应用程序的数据流，大幅扩展安全事件的范围。将其视为端点检测和响应 (EDR) 系统的演进，但 XDR 不是依赖于孤立运行的传统安全措施，而是将 SIEM 的日志管理方法与许多其他安全组件集成在一起，形成一个紧密结合的整体。例如，将 EDR 系统集成到 XDR 中，组织可以将可见性扩展到每个端点，检测并响应单个设备上的威胁。通过整合网络流量分析，XDR 可以实时分析数据包，并利用来自端点的数据丰富网络视图。此过程有助于识别高级攻击模式，例如横向移动和新颖的入侵尝试。 云安全工具是 XDR 系统的另一个重要集成点。随着组织越来越多地将其运营转移到云端，将云访问安全代理 (CASB) 和安全 Web 网关集成到 XDR 生态系统中可确保云环境受到持续监控并免受威胁。 XDR 的范围如您所愿：集成身份和访问管理 (IAM) 解决方案进一步提供对用户行为和访问模式的洞察，帮助检测和防止基于身份的攻击。 然后，将大量遥测数据输入分析引擎，确定每个警报的严重性和范围。一旦发现潜在威胁，XDR 平台可以通过隔离受影响的系统、阻止恶意活动、将操作回滚到安全状态或向安全团队发送上下文警报来自动响应。由于其更广泛的可视性，XDR 为自动化安全响应提供了有前景的基础。 这些自动化剧本有助于根据威胁严重程度自动响应，从而大大减少响应时间和警报积压。如果不采取补救措施，XDR 仍然能够收集和可视化通常由分析师留下的跨部门信息。这种安全事件或攻击的高保真图片可以让分析师将时间投入到更有针对性的战略性工作上。如果你还想问' 什么是 XDR？ ”，了解我们对这个令人兴奋的新领域的深入研究。

SIEM 与 XDR 比较：5 个主要差异

SIEM 和 XDR 解决方案之间的差异非常细微，但极其重要：从安全角度来看，SIEM 提供了一种收集和存储日志以实现合规性、数据存储和分析的方法。对于传统的 SIEM 解决方案，总体安全分析很大程度上只是固定在那些预先存在的日志收集和规范化功能之上。因此，SIEM 工具通常需要强大的分析功能才能充分识别威胁。如果没有区分真正威胁和虚假警报的原生能力，安全团队往往只能攀登珠穆朗玛峰的日志数据。 另一方面，XDR 是专门为威胁识别而构建的：它的发展旨在填补 SIEM 收集的日志之间留下的空白。其截然不同的方法基于端点和防火墙数据，而不仅仅是原始日志。虽然 XDR 为组织提供了新的安全功能和增强的保护，但值得注意的是，它不应完全取代 SIEM，因为 SIEM 在威胁检测之外仍然具有重要的用例，例如日志管理和合规性。 下表提供了 XDR 与 SIEM 的深入比较。 您可能已经对自己的网络和服务有了深入的了解，但 SIEM 的成功完全依赖于反映这些知识的解决方案。此过程需要的不仅仅是 IP 地址电子表格，相反，SIEM 系统需要定期更新。这就是为什么如此大规模的工具需要全职支持团队。这些安全人员只专注于保持 SIEM 工具良好运行，而不是主动分析和分类警报。 当然可以简单地将所有设备的所有警报放入 SIEM，但找到真正的事件几乎是不可能的。最吵闹的警报可能来自最常针对您的组织的典型恶意软件。然而，除此之外，混乱的警报基本上变得毫无意义。如果不进行调整，数以千计的警报最终可能会变成毫无意义的噪音。 在大多数情况下，SIEM 工具是孤立的 - 与堆栈中的其他安全工具没有通信或交叉引用。因此，您的安全团队需要手动比较不同仪表板和工具之间的警报。这意味着大多数事件识别和分类仍然几乎完全是手动的。因此，SIEM 报告下游的所有流程仍然需要大量的技术专业知识。了解哪些信息重要以及它与网络其他部分的关系仍然至关重要。

XDR 的优点和缺点

随着组织努力应对越来越多的网络威胁，XDR 集成方法的吸引力是不可否认的。然而，与任何技术一样，XDR 也有其自身的优势和挑战。要平衡地了解该工具的优缺点，需要探索与实施和管理 XDR 解决方案相关的潜在复杂性和资源需求。此次比较旨在让网络安全专业人士和爱好者更清楚地了解 XDR 的真正价值主张。

XDR 优点

XDR 从整个组织收集与安全相关的数据：然后对这些数据进行整理和分析，将原始信息减少为更小的、高保真事件警报。遥测数据范围的扩大以及对互连系统的了解的加深，使您的团队更有可能发现主动威胁。当然，收集数据只是过程的一半。 当可疑事件出现时，很快就会进行深入调查。强大的 XDR 系统可以提供组织解决关键查询所需的基本分析：这种威胁是真实的还是仅仅是误报？这是否意味着更重大的风险？如果是这样的话，覆盖范围有多大？在当前形势下，大量网络攻击分多个阶段展开，一旦完成其特定角色，部分攻击就会消失。 XDR 平台明白，缺乏初始迹象并不能保证组织的安全，或者表明危险已经完全过去。

XDR 缺点

供应商锁定

尽管 XDR 具有潜力，但当今网络安全市场的现实仍然阻碍了许多 XDR 工具的潜力。目前，专注于特定安全工具的供应商提供供应商锁定的 XDR：因此，XDR 的额外安全需求得到快速开发和补充。对于在某些功能方面经验不足的组织，安全团队最终会得到一个有缺陷的工具包，其性能比基本 SIEM 更差。

避免锁定并解锁全面的安全理解

Stellar Cyber​​ 的 Open XDR 平台提供了安全工具的下一代发展：一种集成解决方案，使组织能够主动检测、调查和响应整个数字生态系统中的威胁。凭借其开放且可扩展的架构，该平台无缝聚合来自各种安全工具（包括网络、云和端点源）的数据，提供对潜在安全威胁的统一视图和全面洞察。探索 Stellar Cyber​​ 的开放 XDR 平台 ！