Rechercher

SOC, SIEM, XDR, MDR, EDR… quelles différences ?

Le jargon de la détection et de la réponse aux incidents fait la part belle aux acronymes. Voici leur signification.

SOC et SIEM : quelles différences ?

Le SOC, pour Security Operation Center, est, comme son nom l’indique, le centre des opérations de sécurité. Plus précisément, un SOC se concentre sur la surveillance des menaces et la qualification des incidents.

Pour y parvenir, les analystes utilisent un outil, le SIEM (Security Information Management System). Le SIEM intègre des logiciels utilisés pour surveiller les infrastructures des entreprises. Les analystes y configurent un ensemble de règles de corrélation selon la politique de sécurité préconisée afin de détecter d’éventuelles menaces.

EDR : Endpoint Detection Response

Les logiciels EDR surveillent les terminaux (ordinateurs, serveurs, tablettes, téléphones…) et non le réseau du système d’information.

Pour ce faire, ces logiciels analysent les usages faits des terminaux surveillés, notamment via l’analyse comportementale. Celle-ci permet de reconnaître des comportements déviant d’une norme, après une phase d’apprentissage. Les logiciels d’EDR sont également capables de surveiller l’exploitation de failles de sécurité.

L’avantage d’une solution EDR est de permettre à une entreprise de se protéger à la fois contre les attaques connues (ex : un virus) mais aussi inconnues, en analysant des comportements suspects.

Focus : Qu’est-ce qu’un MicroSOC EDR ?

Un MicroSOC EDR est une équipe du SOC qui se focalise sur un périmètre précis de détection. Pour cela, le microSOC utilise un SIEM. Celui-ci est placé au sein d’un logiciel d’EDR.

Focus : Qu’est-ce qu’un Micro-SOC EDR ?

Le Micro-SOC est un outil nouvelle génération de protection, détection proactive sur vos postes de travail et serveur. Il combine l’intelligence artificielle et l’expertise des analystes Orange Cyberdéfense. Sa détection proactive permet de détecter les actions malveillantes sur votre système d’informations avant que l’attaque soit réellement déclenchée. Cela permet de confiner l’appareil infecté et de remédier à l’attaque avant qu’elle n’envahisse les autres postes.

NDR : Network Detection and Response

 Le NDR apporte une visibilité étendue aux équipes du SOC, à l’échelle du réseau, pour détecter le comportement d’attaquants possiblement cachés, ciblant les infrastructures physiques, virtuelles et cloud. Il apporte de la complémentarité aux outils EDR et SIEM.

L’approche du NDR offre une vue d’ensemble et se concentre sur les interactions entre les différents nœuds du réseau.

Le fait d’obtenir un contexte de détection plus large peut révéler toute l’étendue d’une attaque et permettre des actions de réponse plus rapides et mieux ciblées.

XDR : Extended Detection and Response

Les solutions XDR permettent de démocratiser les outils de détection. En SaaS, elles permettent de regrouper des données provenant de différentes sources et de les relier entre elles afin de se protéger et de répondre au mieux lors de cyberattaques. Le XDR ne protège pas seulement les endpoints, mais aussi les e-mails, serveurs, cloud. En augmentant les capacités de détection, le XDR permet une réaction rapide aux menaces, en amont de la kill chain, limitant nettement les dégâts. Le XDR surveille en continu et de manière proactive, pour alerter rapidement en cas de suspicion d’attaque

En résumé :

  • EDR : apporte plus de précisions, mais moins de couverture du réseau.
  • NDR : couvre le réseau mais ne surveille pas les endpoints.
  • XDR : abroge les frontières des périmètres de détection, apporte de l’automatisation pour accélérer les investigations et détecter les attaques sophistiquées.

MDR : Managed Detection Response

 L’acronyme MDR regroupe les solutions managées (gérées par un fournisseur de cybersécurité) de détection et de réponse aux incidents. Elles sont opérées par un SOC, interne ou externalisé, et permettent d’adresser de bout en bout les menaces cyber.

Grâce à l’automatisation, notamment via l’usage d’un outil d’orchestration (SOAR pour Security Orchestration Automation and Response), un analyste peut procéder à une remédiation lorsqu’une menace est détectée et confirmée. Il est également parfaitement possible, selon le niveau de maturité en cybersécurité d’une entité, d’appliquer automatiquement la remédiation.

Ces solutions permettent une accélération du traitement des alertes.

Le CSIRT, qu’est-ce que c’est ?

CSIRT veut dire Computer Security Incident Response Team. C’est une entité qui gère la réponse aux incidents.

Les équipes du CSIRT travaillent en anticipation : ils enrichissent nos différents outils de connaissance de la menace (Threat Intelligence). Ils interviennent également en cas d’urgence afin d’accompagner des entreprises dans la gestion de crises cyber.

Quelle(s) solution(s) choisir ?

 Chaque entreprise ayant des besoins bien spécifiques, les méthodes de détection et de réponse aux incidents varient de l’une à l’autre.

Il est cependant conseillé de fonctionner par combinaisons. Depuis 2015, le Gartner fait la promotion de cette idée. Selon l’analyste, pour atteindre une visibilité complète sur les menaces, un SIEM seul ne suffit pas. La crise sanitaire et la généralisation du télétravail ont notamment montré qu’il était extrêmement important de sécuriser les endpoints.