Чем отличается XDR от SIEM+Sysmon

Чем отличается XDR от SIEM+Sysmon
На прошедшей недавно конференции SOC Forum активно обсуждались новинки на рынке: SOAR, XDR, MDR. Я выбирал что принести нового: Autonomous Digital Experience Monitoring   или External Attack Surface Management  и выбрал EASM. Об этом напишу позже.


Я вдруг осознал на лекциях, что многие заказчики воспринимают новые технологии, лишь как переименование старых. Например, сейчас попробуйте сами ответить на вопрос: чем XDR отличается от SIEM?

И на конференции как раз прозвучал такой вопрос: а если я поставлю Sysmon и буду отправлять логи sysmon и NGFW в SIEM,  то получу ли я такой же функционал как в XDR?
Если отвечать коротко, то основное различие простое: XDR блокирует атаки, а SIEM+Sysmon детектирует. И это самое важное. Также давайте рассмотрим подробнее и другие аспекты.

Для начала приведу часть вопросов, которые задаю заказчикам и они мне про функционалу XDR )

Функционал

У вас есть шифрование дисков?
У вас защищаются флешки?
Сколько у вас консолей управления защитой рабочих станций?
Можете определить имеющиеся уязвимости на Windows, MacOS, Linux?
Можете делать форенсику удаленно?
Поддерживаете ipv6?
Блокируете эксплойты для Linux?
Отправляете файлы в песочницу?
Можете ли вы собрать в единую цепочку события от хостов и сетевых устройств?
Получаете события от сторонних источников?
Инциденты связаны с базой TI?

Containment

Как вы изолируете Windows, MacOS, Linux?
Куда вы шлете команды на блокировку на NGFW или на хосты?
Можете ли вы найти в своей сети устройство, на котором нет агента? Как?
Можете ли вы хранить данные больше 6 месяцев? Среднее время обнаружения инцидента 300 дней. Это 10 месяцев.
Можно редактировать IoA? BIOC?
UEBA есть на основе событий NGFW?
Инвентаризация есть: пользователей, групп, дисков, сервисов, драйверов, автозапуска, демонов, точек монтирования?
Инциденты можно забрать по API?
Умеете запускать скрипт на питоне на всех операционках?

До появления XDR, на все эти вопросы можно было ответить имея в наличии несколько разных систем: SOAR, TIP, SIEM, EPP, сканер безопасности, правильно настроенные системы защиты операционных систем. В общем это все решить можно в комплексе. Если у вас только SIEM+Sysmon - вряд ли вы решите перечисленные выше задачи.

С появлением XDR у вас появился единый интерфейс, в котором вы можете ответить на все эти вопросы и быстро расследовать инциденты, заблокировать распространение угроз. И тут уже нужно констатировать, что XDR продукты сильно сложнее: в них интегрированы агенты, которые защищают хосты, в них работают все ранее известные техники защиты и добавлены поведенческие техники. Причем, если в SIEM поведенческие техники и индикаторы поведения вы отрабатываете отдельно от хоста, то в XDR они работают на каждом хосте, даже когда он отключен от системы управления. И именно на этом основаны техники своевременного предотвращения распространения шифровальщиков, руткитов и другого вредоносного кода.

Пример behaviour indicator of compromise правил внутри Cortex XDR


Итак, какие проблемы вашей службы безопасности призваны решить решения XDR?

1. Слишком много событий => вы упускаете из виду атаки или вы не успеваете их расследовать.

2. Слишком много утилит безопасности => аналитику не хватает экспертизы пользоваться всеми сразу, чтобы понять что же явилось причиной возникшей проблемы.

Зачем переходят на XDR:

Автоматически создавать и расследовать инцидент: для этого требуется собирать не только события безопасности, но и обычные события: создание процессов, файлов, соединения через NGFW. В SIEM тоже можно начать отправлять вообще все события на хостах и в сети. Но готов ли ваш SIEM и его движок корреляции? Сколько событий в секунду он может коррелировать? (не принимать, а коррелировать).

Ускорить время расследования инцидента. Различные производители показывают фантастические результаты: почти мгновенно аналитик SOС получает готовый расследованный инцидент в виде картинки следующих друг за другом событий: root cause analysis.

Сгруппировать поток событий в один инцидент автоматически и показать только самые важные автоматически. Надо отдать должное SIEM - это в них тоже заложено. Но сравнить как это сделано в SIEM и как это сделано в XDR - очень советую.




Схема объединения событий с хоста и из сети в событие XDR.








Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!

ksiva

Пусть будет утренний в честь того, что я его создал утром.