W świecie wysokich technologii mnożą się trzyliterowe skróty, za którymi kryją się specjalistyczne, zaawansowane rozwiązania i technologie wykrywania zagrożeń. Ich liczba i funkcjonalności mogą przytłaczać, zwłaszcza, że czasem na pierwszy rzut oka wydają się bardzo podobne do siebie .
I tak w kontekście bezpieczeństwa danych organizacji możemy zetknąć się z usługami EDR i SIEM. Czy są podobne, a jeżeli tak, to w jakim zakresie? A może dotyczą zupełnie innych kwestii i pozory podobieństwa szybko wychodzą na światło dzienne? Przeanalizujmy rozwiązania EDR vs SIEM w kontekście bezpieczeństwa naszych danych.
Wprowadzenie do EDR i SIEM – jakie mają funkcje?
EDR (Endpoint Detection and Response) to rozwiązanie, które do ochrony wykorzystuje analitykę w czasie rzeczywistym i automatyzację. Procesy wspierane są możliwościami oferowanymi przez sztuczną inteligencję. System chroni użytkowników końcowych organizacji, urządzeń końcowych i zasobów IT przed licznymi zagrożeniami. Co istotne, także tymi, które omijają oprogramowanie antywirusowe i inne tradycyjne narzędzia zabezpieczające punkty końcowe. Gromadzi dane ze wszystkich punktów końcowych w sieci – komputerów i laptopów, serwerów, urządzeń mobilnych, urządzeń IoT (Internet of Things) i innych i analizuje dane w czasie rzeczywistym. Inaczej mówiąc, EDR przejmuje rolę tradycyjnych rozwiązań zabezpieczających punkty końcowe (antywirus, anty-malware).
Czym jest system SIEM? W przypadku technologii SIEM (Security Information and Event Management), dane pochodzą z dzienników zdarzeń z różnych źródeł. Technologia obejmuje całą infrastrukturę IT, zbierając dane z różnych źródeł, takich jak serwery, sieci, aplikacje i urządzenia końcowe. System klasy SIEM identyfikuje aktywność odbiegającą od normy za pomocą analizy danych w czasie rzeczywistym i podejmuje odpowiednie działania odnośnie incydentów bezpieczeństwa.
EDR i SIEM – podstawowe różnice
Już po pierwszych informacjach rysują się wyraźne różnice. O ile system EDR skupia się na endpointach, czyli urządzeniach końcowych, takich jak komputery stacjonarne, laptopy i serwery, o tyle SIEM zbiera i centralizuje logi oraz zdarzenia z różnych systemów IT. EDR umożliwia zaawansowane analizy i inspekcje zachowań na poziomie urządzenia końcowego, podczas gdy technologia SIEM skupia się na dostarczaniu ogólnego obrazu stanu bezpieczeństwa organizacji. Różne dane będą służyły różnym celom i zakresom ochrony. Konsekwentnie też, w różny sposób będą podejmowane reakcje na incydenty.
W przypadku SIEM reakcją będą zazwyczaj alerty i raporty, które wymagają analizy przez zespół bezpieczeństwa. Niemniej jednak zaawansowane rozwiązania SIEM mogą inicjować automatyczne działania w reakcji na wykryte zagrożenia. Np. blokowanie adresów IP czy izolowanie segmentów sieci. EDR dysponuje bezpośrednimi środkami do odpowiedzi na zagrożenia na urządzeniach końcowych. W tym przypadku będzie to izolowanie urządzeń, usuwanie złośliwego oprogramowania, eliminacja procesów czy odzyskiwanie danych. Działania są często bardziej zautomatyzowane i bezpośrednie. Zautomatyzowane funkcje reagowania mogą bez interwencji człowieka identyfikować i powstrzymywać potencjalne zagrożenia bezpieczeństwa, które przenikają przez granice sieci, zanim zdążą wyrządzić poważne szkody.
Do czego służy SIEM a do czego służy EDR?
W kontekście porównania EDR vs SIEM należy wskazać, że u samej podstawy obu rozwiązań leżą inne założenia i priorytety. Nowoczesne systemy SIEM oferują szeroki widok na całą infrastrukturę IT. Umożliwiają identyfikację zagrożeń na poziomie sieci i aplikacji. Natomiast EDR koncentruje się na urządzeniach końcowych dostarczając szczegółowych informacji o aktywności na poziomie urządzenia. Dodatkowo, aktywnie reaguje na zagrożenia. EDR nie dostarcza tak szerokiego zakresu danych i kontekstu dotyczącego incydentów, jak SIEM łączący informacje z różnych źródeł. Niemniej jednak umożliwia zrozumienie zachowania użytkowników na urządzeniach końcowych i reagowanie na poziomie urządzenia.
Różne, ale komplementarne
W związku z tym oba rozwiązania są rozwiązaniami komplementarnymi. SIEM, jako centralne narzędzie analityczne znakomicie wspiera zespoły SOC (Security Operations Center) na polu zarządzaniu incydentami. System EDR stanowi naszą bezpośrednią zautomatyzowaną linię obrony przed zagrożeniami wspierając system bezpieczeństwa organizacji.
|
|
SIEM
|
EDR
|
|
Zakres działania
|
Cała infrastruktura IT
|
Koncentracja na urządzeniach końcowych
|
|
Zakres zbieranych i analizowanych danych
|
Zbiera i centralizuje logi oraz zdarzenia z różnych systemów IT.
|
Rejestruje szczegółowe dane dotyczące aktywności na urządzeniach końcowych
|
|
Zakres reakcji
|
Alerty i raporty, które wymagają analizy przez zespół bezpieczeństwa. Może zainicjować automatyczne działania.
|
Bezpośrednie środki do odpowiedzi na zagrożenia na urządzeniach końcowych
|
|
Zakres wparcia użytkownika
|
Dostarcza bogaty kontekst dotyczący incydentów, dzięki informacjom z różnych źródeł
|
Dostarcza szczegółowy kontekst dotyczący zachowania na urządzeniach końcowych
|
|
Podsumowanie
|
Centralne narzędzie analityczne i informacyjne, wsparcie dla zespołu SOC
|
Szczegółowe monitorowanie i reagowanie na zagrożenia na poziomie urządzeń końcowych
|
Tyle na dziś! Zapraszamy na szkolenia WatchGuard do certyfikowanego centrum szkoleniowego.
Redaktor Net Complex Blog
