Een SOC die deels geautomatiseerd in actie komt bij incidenten: tegenwoordig bestaat het. EDR software is het geniale brein hierachter. Maar is een SOC met SIEM daardoor wel of niet ondergeschikt geraakt?
SOC met EDR op de markt
Wie de laatste tijd oriënteert voor een SOC is waarschijnlijk ook een aantal Security Operations Centers die werken met EDR tegen gekomen. Een andere soort security software dan de SIEM. Is het einde van het SIEM tijdperk in zicht dankzij de geautomatiseerde EDR software? Of zit het anders?
Security Operations Center
Voor wie nu denkt: “SOC? EDR? SIEM?” eerst even een korte uitleg. Een Security Operations Center is te vergelijken met een alarmcentrale. Het SOC krijgt alleen niet via sensoren en camerabeelden meldingen, maar via software. Van oudsher is SIEM-software dé dataleverancier van een SOC. Geen data betekent tenslotte geen meldingen.
Is er verdachte activiteit gaande? Dan brengt een SOC u op de hoogte. Alle informatie die de software ondertussen heeft verzameld, is in te zetten voor onderzoek naar oorzaak én herstelopties.
Dit artikel legt alle afkortingen binnen de MDR (ja, die afkorting ook) uit.
SIEM en EDR zijn verschillend
Endpoint Detection & Response is niet een SIEM met meer opties. Nee, een SIEM en EDR verschillen inhoudelijk juist ontzettend van elkaar. Het is daarom belangrijk om te weten dat u van een SOC met EDR andere dingen mag verwachten dan een SOC met SIEM. Hoe dat zit? Dat leggen we uit door de SIEM- en EDR-software naast elkaar te leggen.
SIEM
Laten we beginnen bij de klassieker: de SIEM. Deze software houdt uw volledige infrastructuur in de gaten. Het verzamelt logs vanuit uw infrastructuur, die het SOC dan vervolgens weer analyseert en kwalificeert. U kiest zelf waar u meldingen van krijgt. Denk bijvoorbeeld aan (te) veel mislukte inlogpogingen op een apparaat, lateral movement of een honeypot file die is geopend.
Een SIEM is niet in staat zomaar geautomatiseerd in actie te komen. De software “spuugt” enkel informatie uit waar het SOC-team vervolgens zelf een response op moeten geven.
Overigens: omdat de SIEM-software al enige tijd meegaat, is inmiddels niet elke SIEM meer hetzelfde. Hoe dat zit leest u hier.
EDR
De naam zegt het al: Endpoint Detection & Response richt zicht op de beveiliging van Endpoints (apparaten). De meeste EDR-oplossingen zitten heel diep in het systeem en zien daardoor alles. Raakt een apparaat geïnfecteerd? Dan biedt EDR inzicht én komt in actie.
Niet alleen door het apparaat terug te zetten naar een moment waarop het nog niet geïnfecteerd was (rollback). Het onderzoekt automatisch op wat voor endpoints de – bijvoorbeeld – ransomware nog meer draait. Om vervolgens – via een tijdlijn – te achterhalen bij welke machine de besmetting begonnen is. EDR is zelfs in staat een apparaat te isoleren om verspreiding van de besmetting tegen te gaan.
EDR detecteert én handelt dus. In tegenstelling tot een SIEM. Er zit alleen een grote maar aan: EDR beperkt zich tot endpoints. Devices. Het heeft dus géén zicht op de rest van de digitale infrastructuur (clouddiensten, netwerkapparatuur, databases, applicaties, etc.).
De verschillen tussen SIEM en EDR
We maken dingen niet onnodig ingewikkeld. In het kort hieronder dus een zeer bondig tabelletje die de belangrijkste verschillen – en overeenkomst – tussen SIEM en EDR weergeeft. (Smartphonegebruikers kunnen het tabel naar rechts scrollen om de inhoud te zien)
Onderzoek na een threat
Beide softwareopties maken het mogelijk onderzoek te doen naar incidenten. Is er iets gebeurd? Dan kan het SOC-team in de logs terugkijken naar wat zich heeft voorgevallen. Dat stelt technische teams in staat n.a.v. dat inzicht oplossingen aan te brengen die dergelijke incidenten in de toekomst voorkomen.
Uiteraard geldt wederom dat de logs van EDR-software zich beperken tot devices.
SOC: met SIEM of met EDR?
Een SIEM is niet ondergeschikt aan EDR en EDR is ook niet ondergeschikt aan SIEM. Ze hebben beiden hun voor en nadelen, waardoor het per organisatie een afweging is welke software het beste past.
De meeste organisaties zien voordelen in de automatische herstelopties van EDR. Bij ransomware kan de snelle reactiesnelheid van EDR soms net het verschil maken. Maar de afweging is dan wel: zijn de risico’s van de blinde vlekken in de rest van de infrastructuur te accepteren?
In het geval dat dat niet zo is, dan is een SIEM die een stuk meer inzicht geeft meer geschikt. Al beperkt het zich niet tot een “of of” verhaal.
SOC met SIEM én EDR
Sommige cyber security bedrijven – waaronder Cyberlab – bieden zowel SIEM als EDR als optie aan. Doordat de SOC-experts getraind zijn in allebei de softwareopties, is het ook een optie te genieten van de voordelen van zowel SIEM als EDR.
Dat betekent: inzicht in héél de infrastructuur én geautomatiseerde response op endpoint-niveau.
Er zijn dus drie opties:
- Een SOC met SIEM;
- Een SOC met EDR;
- Een SOC met SIEM én EDR;
Meer informatie over Managed Detection & Response?
Vragen naar aanleiding van een van onze blogs? Stuur deze vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.
