三足鼎立的SIEM、SOAR和XDR

如今，变化的安全挑战、多态的IT架构、复杂的建设需求、严苛的合规审查……，甲方心力交瘁，乙方疲于奔命。传统安全产品交付模式，投入大、成本高、难维护、效果差，完全无法应对。

网络攻击的增长导致合规要求更加严格。法案、标准、监管——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了SIEM系统。有近二十年的时间，安全信息和事件管理 (SIEM) 平台是唯一可以帮助安全团队集检测、调查和响应为一体的解决方案。

不幸的是，随着时间的推移，SIEM 面临着一系列挑战。虽然SIEM曾经足够好了，但它们在预防、检测和响应不断增长的攻击面的威胁方面不再那么有效。此外，SIEM工具以价格昂贵、部署具有挑战性以及操作和维护繁琐而著称。

后来，许多机构在SIEM的基础之上，通过安全编排、自动化和响应 (SOAR -Security Orchestration, Automation and Response) 解决方案聚合来自端点、电子邮件、云和其他系统的警报以提升其能力。SOAR解决方案支持自动化、编排和其他分析工具，从而可以集中管理与潜在威胁相关的关键信息。但SOAR也伴随着高成本和复杂性，需要一个很成熟的安全运营中心 (SOC) 来实施并维护其与合作伙伴的集成和剧本。

SIEM和SOAR等解决方案在当今的网络安全环境中已达到其极限，在预防、检测和响应不断增长的攻击面的威胁方面不再有效。因此，机构正在转向扩展检测和响应 (XDR) ，以统一整个企业的威胁检测和响应。事实上，60%的机构计划在未来12个月内实施或进一步增加XDR 的使用。

但是这些解决方案之间有什么区别呢？哪个适合自己的组织？

什么是 SIEM？

SIEM不是一个单独的工具或应用程序，而是一组不同的构建块，它们都是系统的一部分，它是一个由多个监视和分析组件构成的安全系统。SIEM没有标准的SIEM协议或已建立的方法，包括了聚合、处理和标准化、关联、呈现、缓解和修复等五项元素。

SIEM负责收集、汇总、分析、存储和报告自整个组织的大量日志数据，用于事件响应、取证和合规性，旨在帮助组织检测和减轻威胁。虽然首字母缩略词 SIEM 是 Gartner 在 2005 年首次创造的，但SIEM的基础功能已经存在更长时间了。早在 1990 年代，有远见的机构就认识到他们需要将不同源的安全日志整合到一个系统中，以便分析和满足合规性要求。

SIEM工具聚合日志数据，从分布式自动收集和处理信息来源,并将它集中存储,为SecOps团队提供了统一的遥测资源。它还可以保留用于取证和合规目的的数据，并进行不同事件之间的关联，跨系统查询数据以进行威胁检测和调查，并根据这些信息生成警报和报告，以及提供仪表盘等，以帮助 SecOps 员工按需监控环境，满足审计要求。

然而，SIEM工具需要大量的微调和努力来实施，安全团队也可能被来自SIEM的大量警报所淹没，导致SOC忽视关键警报。此外，即使SIEM从几十个来源和传感器捕捉数据，它仍然是一个被动的分析工具，发出警报。

什么是 SOAR？

安全自动化是安全操作相关任务的自动处理，包括管理职责和事件检测与响应。安全自动化使安全团队能够随着工作负载的增长而相应扩展其能力。安全编排是一种连接安全工具和集成不同安全系统的方法，是简化安全流程和支持自动化的连接层。目前有66% 的分析工程师认为他们的一半任务可以自动化。出于这个原因，一些机构转向了SOAR平台。

SOAR通常被用作为SIEM系统的扩展，可以提供剧本将分析师常用工作流程自动化，并可帮助实施“安全中间件”，允许不同的安全工具进行通信。SOAR通过丰富数据、改进警报分类和自动执行重复性任务来改进 SOC 流程。

但是，SOAR很复杂，成本很高，需要一个高度成熟的SOC来实施和维护合作伙伴的集成和操作手册。

什么是扩展检测和响应（XDR）？

XDR是一种安全产品集成套件，能够全面跨越混合型IT架构（涵盖局域网、广域网、基础设施即服务乃至数据中心等），实现威胁预防、检测与响应等要素的互操作与协调功能。换句话说，XDR正努力把控制点、安全遥测、分析与操作整合到统一的管理系统中。

安全行业正经历着转向XDR这个新型解决方案的过程。因为XDR聚合了整个企业的安全数据，所以有些人可能会认为它只是 SIEM 的进化版本。但事实却是XDR远远超出了传统 SIEM的特征，它通过更有效的安全能力、更快的工作流程、更好的事件管理和更高的可见性提供了有形价值。

XDR 一词于2018年首次引入，指的是新一代安全解决方案。分析公司 Gartner 将其描述为“威胁检测和事件响应工具，将多种安全产品原生集成到一个有凝聚力的安全操作系统中”。XDR中的“X”代表对整个IT生态系统保护的集成和扩展，从而比以往任何时候都更进一步地“扩展”了保护。XDR的前身是端点检测和响应 (EDR)，EDR专注于监控和保护组织机构免受端点威胁。随着数据越过边界，XDR有必要将保护范围扩展到网络、服务器、云以及端点。

XDR承诺以开箱即用的自动操作快速应对各类繁琐枯燥的安全任务。在这方面，我们也可以把XDR理解成一种低成本的交钥匙型安全协调与响应（SOAR）解决方案。

XDR 能提供高级检测、快速响应和直观的自动化，可满足大多数客户的需求，而无需 SIEM 不可预测的定价或第三方 SOAR 解决方案的额外成本。通过将多个安全工具整合到一个威胁检测和响应平台中，XDR 缓解了管理多个独立解决方案所需要的时间、精力及格外的复杂性。

比较SIEM 、SOAR 和 XDR

SIEM非常适合收集和分析大量日志和其他数据。对SIEM进行了大量投资的机构可能仍会选择将其用于合规性和审计的目的——尤其是在金融和医疗保健等面临严格监管审查的行业。但是SIEM技术是在2000年代中期首次引入的，当时的威胁形势与现在大不相同。虽然SIEM曾经满足过当时的需要，但面对不断增长的攻击面威胁，它在预防、检测和响应不再那么有效了。

SIEM用户面临着一系列的挑战，包括不可预测的成本、过多的噪音以及有限的检测和响应能力。运行SIEM需要高度专业化的工作人员，不仅需要构建SIEM，还要开发检测分析功能。对于想要完善其安全程序并提高其对攻击做出反应和响应能力的公司而言，XDR是一种更具成本效益且量身定制的解决方案。

XDR可以作为一个互连系统，使环境中的各个方面都获益于威胁情报，而不会带来任何共担风险或格外成本。XDR可以对目标攻击提供更有效的检测和响应，包括对行为分析、事件响应、威胁情报和自动化的原生支持。

SOAR解决方案将SOC核心流程自动化，从而只需要更少的资源和时间实现更高效的响应。增加的效率帮助机构减少了平均响应时间 (MTTR - mean time to respond)。而快速响应可减少滞留时间，快速遏制入侵者，限制攻击的影响。SOAR对SIEM有很大价值的补充。

相比之下，XDR内置威胁检测、调查和响应(TDIR)用例包，提供了规范工作流和数据源、检测模型、监视列表、调查清单和响应等内容。XDR能够提供高级检测、快速响应和直观的自动化，可以满足大多数客户的需求，而无需增加SOAR解决方案所带来的成本。XDR自动关联、确定优先级和验证警报，使安全团队能够高效地处理最紧迫的威胁。它还提供内置的安全调查工作流程和自动化剧本，有助于简化调查并加快响应行动。简而言之，XDR超越了端点，旨在成为 "SOAR-lite"：一个简单、直观、零代码的解决方案和轻量化工具，提供从XDR平台到连接安全工具的可操作性。根据来自更多产品的数据做出决策，并可以通过对电子邮件、网络、身份和其他方面采取行动，在你的堆栈中采取行动。除此之外，XDR还可有效降低长期折磨安全人员的大量警告噪音，减轻手动工作的负担并节省分析师的宝贵时间。

XDR目前仍是一个新兴的安全领域，结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测与响应(EDR)以及网络流量分析(NTA)，集中安全数据和事件响应，是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR平台旨在解决SIEM工具的挑战，以有效地检测和应对目标攻击，包括行为分析、威胁情报、行为剖析和分析。此番行动不禁让大家联想到，SIEM是否会就此转向XDR。而XDR和SIEM并不是融合，而是相互碰撞。XDR目前并不能取代安全分析平台或安全信息和事件管理(SIEM)解决方案，目前还是一个共存的局面。而安全分析平台可以帮助XDR增强威胁检测能力。

SIEM、SOAR、XDR的比较如下：

XDR的快速发展，SIEM领域终于有了真正的竞争对手，这对于SIEM厂商来说既是挑战，也是机遇，因为安全行业最能够拉开差距的就是技能方面的差异。

参考来源：Understanding the Difference Between SOAR vs SIEM vs XDR

声明：本文来自全息网御科技，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。