XDR vs SIEM

XDR vs SIEM

  • martes 10 agosto, 2021

Un nuevo acrónimo de ciberseguridad ha entrado en el chat. XDR, o Extended Detection and Response, es la última tecnología y método de seguridad para la detección de amenazas. Mejor resumido como un “SIEM NextGen”, XDR está redefiniendo el proceso de recopilación, normalización y correlación de datos de seguridad de múltiples fuentes y aprovechando las herramientas de seguridad para automatizar la respuesta inmediata. Debido a que SIEM y XDR parecen ser muy similares, es importante resaltar las diferencias.

Entendiendo XDR vs SIEM por definición

Explicamos XDR un poco más arriba, pero veamos las definiciones de Gartner de cada uno para resaltar los matices de los dos.

La tecnología de gestión de eventos e información de seguridad (SIEM) admite la detección de amenazas, el cumplimiento y la gestión de incidentes de seguridad a través de la recopilación y el análisis (casi en tiempo real e histórico) de eventos de seguridad, así como una amplia variedad de otras fuentes de datos contextuales y de eventos. Las capacidades principales son un amplio alcance de recopilación y gestión de eventos de registro, la capacidad de analizar eventos de registro y otros datos en fuentes dispares y capacidades operativas (como gestión de incidentes, paneles de control e informes). [1]

Extended Detection and Response, o XDR, es una plataforma unificada de seguridad y respuesta a incidentes que recopila y correlaciona datos de múltiples componentes patentados. La integración a nivel de plataforma ocurre en el punto de implementación en lugar de agregarse más tarde. Esto consolida varios productos de seguridad en uno y puede ayudar a proporcionar mejores resultados generales de seguridad. Las organizaciones deben considerar el uso de esta tecnología para simplificar y optimizar la seguridad. [2]

En resumen, XDR es una alternativa SIEM que toma las funciones centrales de un SIEM y las mejora con aprendizaje automático para una respuesta más automatizada y precisa.

XDR vs SIEM en acción

La mejor manera de resaltar las herramientas es mirando la plataforma y cómo XDR ganó su nombre como “NextGen SIEM”.

XDR toma el núcleo de una plataforma SIEM y la mejora con el aprendizaje automático para analizar y correlacionar instantáneamente grandes cantidades de datos. Como resultado, los equipos reciben primero las alertas críticas más importantes. Veamos las cuatro fases de XDR:

  1. Recopilar : las plataformas XDR tienen la recopilación de datos en su núcleo. Elimine los problemas comunes de demasiados datos, datos insuficientes o falta de contexto para los datos entrantes normalizando los datos a medida que ingresan al sistema. A partir de ahí, se reduce fácilmente, se enriquece con telemetría y se fusiona en un solo registro. Al final, hay un contexto para lo que realmente está ocurriendo.
  2. Detectar : construido para ser una advertencia de detección temprana mediante el mapeo de detecciones de comportamientos conocidos y desconocidos contra la cadena de eliminación de la ciberseguridad. La rica recopilación y correlación de datos coloca la detección de la cadena de eliminación en la base de la detección de amenazas.
  3. Investigar : con una detección exhaustiva, los analistas pueden buscar con confianza el conjunto de datos en busca de actividad maliciosa a través de consultas.
  4. Responder : Automatice las respuestas adecuadas para garantizar un entorno seguro. Por ejemplo, un evento puede activar automáticamente un ticket dentro de su sistema de gestión de casos integrado, activar el correo electrónico, Slack y alertas de API relajantes, enviar automáticamente informes de POF y señalar a los firewalls para que tomen las acciones adecuadas.

En resumen, XDR es verdaderamente un SIEM NextGen que brinda a los equipos de seguridad una vista completa de toda la actividad mientras aprovecha el aprendizaje automático para detener los ataques de manera proactiva.

By Brite

Referencias:

[1] Gartner

[2] Gartner