• Новина

Термін «Управління інформацією та подіями безпеки» (SIEM) був створений у 2005 році як еволюція «централізованого управління журналами» (CLM). З тих часів інструменти SIEM поступово розширювали область застосування, доки не здобули вигляд, що знайомий нам сьогодні, пропонуючи безліч можливостей для вирішення дуже широкого кола завдань клієнтів. Gartner відслідковує ці тенденції у своєму «Магічному квадранті SIEM» більше десяти років.

З іншого боку, «розширене виявлення та відповідь» (XDR) був запропонований у 2018 році. Інструменти XDR були розроблені для більш складних завдань.

Ключові відмінності між SIEM та відкритим XDR

Ниже показані деякі ключові відмінності між інструментами SIEM та відкритими інструментами XDR.

 

SIEM

Відкритий XDR

Покриття домена

Балатодоменне покриття:

- Виявлення, розслідування та реагування на загрози (TDIR)

- Дотримання нормативних вимог

- Централізоване сховище

- Звітність

 

 

Покиття одного домена: TDIR

Мета створення

Створено для індивідуальної настройки та «про всяк випадок»

Створено для ефективного використання TDIR

Розташування данных

Зазвичай передбачається, що дані необхідно централізувати в SIEM

Зазвичай передбачається, що дані можуть зберігатися де завгодно та / або не вимагають тривалого зберігання.

Модель роботы

Може працювати як локально так і з хмари, або обидва варіанти

Працює з хмари

Вимоги до сховища

Передбачає сховище з нескінченним масштабуванням

Не завжди передбачає довгострокове зберігання

Підхід до виявлення

Зазвичай фокусується на кореляційній аналітиці

Зазвичай пропонує розширену аналітику на основі машинного навчання

Підхід до автоматизації

Зазвичай пропонує дуже гнучку оркестровку, автоматизацію та playbook для сценаріїв використання TDIR і без TDIR.

Зазвичай пропонує попередньо підготовлені, специфічні сценарії використання TDIR з розпорядчою оркестровкою, автоматизацією та playbooks

Действия GTM

Зазвичай замінює застарілі SIEM, CLM та / або озера даних

Зазвичай доповнює застарілі SIEM, CLM та / або озера даних


Хоча як SIEM так і відкритий XDR дійсно мають деякі загальні характеристики (наприклад, можна використовувати TDIR), їх філософія дизайну та основні можливості відрізняються. Exabeam Fusion, Exabeam Fusion XDR та Exabeam Fusion SIEM мають загальні структурні компоненти, такі як передові аналітичні механізми та автоматизація середовища. 

Який інструментарій необхідний для Вашої організації?

Як SIEM так і відкритий XDR найкраще підходить для різних ситуацій.

Якщо функціональне покриття зосереджено лише на TDIR в неоднорідному стеці, тоді інструмент, орієнтований на цю функцію (відкритий XDR), може бути найкращою альтернативою з більш коротким часом окупності ніж інструмент загального призначення, такий як SIEM.

Якщо функціональне покриття виходить за рамки TDIR, наприклад, включає в себе централізоване сховище або відповідність, тоді SIEM є найкращим варіантом, оскільки XDR може бути не в змозі задовольнити ці додаткові вимоги. 

Деякі організації можуть почати з конкретних вимог до TDIR, а потім запланувати розширення на інші задачі операцій безпеки, такі як відповідність або централізація журналів. Цим організаціям слід шукати постачальників, які пропонують відкритий XDR з простим шляхом оновлення до повнофункціональної SIEM, наприклад, шляхом додавання сховища, пакетів відповідності або можливостей панелі моніторингу, що не відносяться до TDIR.

І незалежно від вищесказаного, організаціям слід розставити пріоритети в інструментах, які пропонують попередньо упакований контент для поширених та розширених варіантів використання, що можуть бути реалізовані в масштабі за допомогою підходу, орієнтованого на результати.

На закінчення, SIEM і відкритий XDR можуть здатися схожими на перший погляд, але насправді відрізняються за багатьма ключовими критеріями. Не вагайтеся відвідати сторінку наших продуктів, щоб дізнатися більше про те, що Exabeam пропонує в кожній з цих категорій.

Отримати більш детальну інформацію або замовити тестування Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.