Вызывает вопросы чем отличаются два класса продуктов eXtended Detection and Response (XDR) и Security Information and Event Management (SIEM).
Я составил таблицу сравнения. Нужно понимать что мы говорим в ней о неких обобщенных продуктах, потому что в каждом конкретном решении могут быть какие-то функции другие.
Это сравнение также показывал в презентации на SOC Forum 2024
| XDR | SIEM |
| Разные задачи | |
| Обнаружение и реагирование на угрозы, охватывая различные аспекты IT-инфраструктуры | Сбор, анализ и управление данными о безопасности разных систем |
| Разное реагирование | |
| Автоматически блокировать угрозы и выполнять действия по реагированию, например, изоляцию хостов | Ручное вмешательство для реагирования на инциденты |
| Разная автоматизация | |
| Автоматизации реагирования на угрозы, например удаление файлов, что значительно ускоряет процесс реагирования. | Показывает проблемы и реагирует создавая инциденты |
| Разная инвентаризация | |
| Инвентаризация всей сети, процессов, файлов и ключей реестра | Часто проводит только инвентаризацию хостов |
| Разная визуализация | |
| Более полное представление об атаках, анализируя поведение пользователей, приложения, сеть и конечные точки. Показывает цепочки атаки. | Более ограниченный обзор угроз |
| Разная полнота сбора | |
| Объединяет все необходимые данные из различных источников безопасности в единую платформу | Часто работает с разрозненными системами без глубокой интеграции и не имеет нужных правил корреляции |
| Разные способы идентификации угроз | |
| Поведенческая аналитика для более точного определения угроз на конечных устройствах | Работает на основе заложенных правил корреляции |
| Разный уровень сложности | |
| Более сложны и требуют интеграции нескольких технологий, например, CASB, EDR и NDR | Может быть проще в развертывании, но менее эффективен в современных условиях киберугроз |
| Разное время расследования | |
| Значительно сокращает время на расследование инцидентов благодаря автоматизированным процессам и более полной видимости событий | Расследование может затягиваться из-за недостатка информации и требуется дополнительно SOAR |
| Разные центры принятия решений | |
| Анализ и реагирования на события работает сразу на хосте. Центр управления передает индикаторы компрометации между всеми хостами. | Корреляция работает в центре после сбора всех событий от источников |