Vad är SIEM och XDR?
Teknik för säkerhetsinformation och händelsehantering (SIEM) samlar säkerhetsdata, skickar varningar om misstänkt aktivitet och ger säkerhetsinsikter. XDR-teknik (Extended Detection and Response) samlar detekteringsdata, initierar automatiska svar och skickar varningar efter behov.
Vill du ha fler tekniska nyheter? Prenumerera på ComputingEdge Nyhetsbrev idag!
Vad är SIEM?
SIEM-teknik ger säkerhetshantering genom att kombinera säkerhetsinformationshantering (SIM) med funktioner för säkerhetshändelsehantering (SEM) till ett enhetligt säkerhetshanteringssystem.
SIEM-system syftar till att samla säkerhetsdata från flera källor, identifiera misstänkt aktivitet och vidta åtgärder. Till exempel kan ett SIEM-system logga ytterligare information om misstänkt aktivitet, generera en varning och instruera säkerhetskontroller för att stoppa aktivitetens framsteg.
Grundläggande SIEM-system använder vanligtvis regler eller en statistisk korrelationsmotor för att upprätta relationer mellan olika händelseloggposter. Avancerade SIEM-lösningar inkluderar säkerhetsorkestrering, automationsfunktioner och beteendeanalys baserad på maskininlärningsalgoritmer.
Vad är XDR?
XDR-teknik ger holistisk hotupptäckt och respons. Det syftar till att fånga sofistikerade och avancerade hot som andra verktyg har missat genom att aggregera hotdata, initiera relevanta svar och ge analytiker den data som behövs för att skydda nätverket ordentligt.
Många avancerade hot undviker upptäckt och gömmer sig mellan frånkopplade lösningsvarningar och säkerhetssilor. Eftersom de förblir dolda kan de föröka sig och spridas. Istället för att lägga tid på att proaktivt söka efter och blockera dessa hot, överväldigas säkerhetsanalytiker av varningar som försöker triagera och undersöka med frånkopplade, snäva attacksynpunkter.
XDR bryter ner säkerhetssilos genom att tillämpa ett holistiskt synsätt på upptäckt och respons. XDR-tekniken samlar in och korrelerar djupa aktivitetsdata och detektioner över flera säkerhetslager, inklusive e-post, servrar, slutpunkter, nätverk och molnbelastningar. Sedan tillämpar den automatisk analys på denna data för att upptäcka hot snabbare.
SIEM på Azure med Microsoft Sentinel
Säkerhetsteam kan ta emot en enorm mängd varningar. Men att försöka triage så många varningar kan överväldiga teamet, vilket resulterar i larmtrötthet. När detta sker regelbundet kan teamet ignorera många incidenter. Som ett resultat kan kritiska problem gå obemärkt förbi och utsätta organisationen för attacker.
Microsoft Sentinel kombinerar SIEM med SOAR för att tillhandahålla automatisk triaging och svar. Det hjälper till att säkerställa att team inte översvämmas av en överväldigande mängd händelser. Istället automatiserar Sentinel återkommande och förutsägbara svar, sanering och berikning, vilket frigör resurser och tid för djupgående mänsklig undersökning och jakt på avancerade hot.
Hotjakt
Microsoft Sentinel tillhandahåller ett sök- och frågeverktyg baserat på MITER-ramverket. Det gör att du proaktivt kan leta efter hot över flera datakällor innan systemet ens utlöser en varning. Du kan använda den här förmågan för att identifiera en jaktfråga med värdefulla insikter om en potentiell attack.
Sentinel låter dig skapa bokmärken för händelser som du vill återvända till senare eller dela med andra. Du kan också gruppera händelser med andra för att skapa en mer omfattande incident för utredning. Dessutom kan du använda dina frågor för att skapa anpassade detektionsregler som visar insikter som varningar till räddningspersonal.
Automationsregler
Automationsregler gör att du kan hantera incidenthanteringsautomatisering centralt. Den här funktionen hjälper dig att effektivisera automatiseringen i Sentinel och använda enkla arbetsflöden för incidentorkestrering. Du kan använda den för att tilldela spelböcker till incidenter och automatisera svarsåtgärder för flera analysregler. Det låter dig också automatiskt tilldela, stänga och tagga incidenter utan att använda spelböcker och kontrollera ordningen på utförda åtgärder.
Playbooks
I Sentinel är en spelbok en uppsättning åtgärder för svar och åtgärd som du kan köra som en rutin. Sentinel-spelböcker är baserade på Azure Logic Apps-arbetsflöden. Logic Apps är en molnbaserad tjänst som gör att du kan automatisera, orkestrera och schemalägga arbetsflöden och uppgifter mellan olika system.
Du kan använda playbooks för att orkestrera och automatisera incidentrespons och integrera med externa och interna system för att förbättra funktionaliteten. En analys- eller automatiseringsregel kan utlösa en spelbok att köras automatiskt som svar på vissa incidenter och varningar. Du kan också köra en spelbok manuellt på begäran med hjälp av incidentsidan.
XDR på Azure med Microsoft Defender
Microsoft Defender XDR tillhandahåller en cyberförsvarsplattform som centraliserar alla Microsofts säkerhetserbjudanden, inklusive över 40 säkerhetsverktyg. Den erbjuder all funktionalitet som tidigare erbjöds som Azure Security Center.
Här är produkterna på toppnivå som består av Microsoft Defender XDR:
- Microsoft 365 Defender (tidigare Microsoft Threat Protection)
- Azure Active Directory (AD)
- Microsoft Defender för identitet
- Microsoft Defender för slutpunkter
- Microsoft Endpoint Manager
- Microsoft Defender för Office 365
- Microsoft Defender för moln
- Azure Defender
Verktygen och funktionerna som tillhandahålls genom Microsoft Defender XDR stöder hybrid och molnbaserad infrastruktur. Det hjälper till att uppnå säkerhetskonsistens, oavsett plats. Tjänster som Azure Arc gör att du kan hantera tjänster från vilken plats som helst, inklusive Google Cloud och Amazon Web Services (AWS) samtidigt som du tillhandahåller tillsyn från Microsoft Azure Defender.
Slutsats
I den här artikeln förklarade jag grunderna för SIEM och XDR och presenterade två Microsoft-lösningar som kan hjälpa dig att implementera dem i Azure-molnet:
- Microsoft Sentinel— en hanterad SIEM-plattform som möjliggör hotsökning, automatiseringsarbetsflöden och säkerhetshandböcker.
- Microsoft Defender—en mångfacetterad säkerhetsplattform inklusive komponenter för att försvara molnidentiteter, slutpunkter, molnbaserade kontorstjänster, IoT, servrar och databaser.
Jag hoppas att detta kommer att vara användbart när du utforskar världen av Microsofts säkerhetslösningar i Azure-molnet.