Søk

SOC, SIEM, MDR, EDR… Hva er forskjellene?

Forkortelser dominerer sjargongen for hendelsesdeteksjon og respons. Her er hva de betyr.

SOC and SIEM: hva er forskjellen?

SOC står for Security Operation Center. En SOC fokuserer på trusselovervåking og kvalifisering av hendelser.

For å oppnå dette bruker analytikere et verktøy kalt “SIEM”, Security Information and Event Management. En SIEM integrerer programvare som brukes til å overvåke bedriftsinfrastrukturer. Analytikere konfigurerer et sett med korrelasjonsregler i henhold til anbefalt sikkerhetspolicy for å oppdage mulige trusler.

EDR: Endpoint Detection Response

 

EDR-løsninger (Endpoint Detection and Response) overvåker endepunkter (datamaskiner, nettbrett, mobiltelefoner osv.), analyserer filer og programmer og rapporterer alle trusler som blir funnet. EDR-løsninger leter kontinuerlig etter avanserte trusler og bidrar til å identifisere angrep på et tidlig tidspunkt og reagere raskt på en rekke trusler.

Fordelen med EDR-løsninger er at de tillater selskaper å beskytte seg mot både kjente (f.eks. et virus) og ukjente angrep ved å analysere mistenkelig atferd.

NDR: Network Detection and Response

 

NDR-løsninger gir utvidet synlighet for SOC-team over hele nettverket for å oppdage atferden til potensielt skjulte angripere som rettes mot fysisk, virtuell og skyinfrastruktur. Den utfyller EDR- og SIEM-verktøyene.

NDR-tilnærmingen gir en oversikt og fokuserer på samspillet mellom de forskjellige nodene i nettverket. Å oppnå en bredere deteksjonskontekst kan faktisk avsløre det fulle omfanget av et angrep og muliggjøre raskere og mer målrettede responshandlinger.

XDR: Extended Detection and Response

XDR-løsninger hjelper sikkerhetsteam med å løse problemer med synlighet av trusler ved å sentralisere, standardisere og korrelere sikkerhetsdata fra flere kilder. Denne tilnærmingen øker deteksjonsfunksjonene sammenlignet med spesifikke deteksjons- og responsverktøy (EDR). For eksempel gir XDR full synlighet ved å bruke nettverksdata til å overvåke sårbare (ikke-administrerte) endepunkter som ikke kan sees av EDR-verktøy.

XDR analyserer data fra flere kilder (e-post, sluttpunkter, servere, nettverk, sky…) for å validere varsler, redusere falske positive og det totale volumet av varsler. Denne korrelasjonen av indikatorer fra flere kilder gjør at XDR kan forbedre effektiviteten til sikkerhetsteamene.

Oppsummert:  

  • EDR: gir flere detaljer, men mindre nettverksdekning.
  • NDR: dekker nettverket, men overvåker ikke endepunkter.
  • XDR: ser endepunktene, nettverket og skytjenestene under ett, dette kombinert med AI og maskinlæring sørger for å identifisere ukjente og avanserte trusler, uavhengig av hvor de kommer fra, på kortest mulig tid.

MDR: Managed Detection Response

Forkortelsen MDR står for Managed Detection Response. Disse tjenestene administreres av en cybersikkerhets-leverandør som monitorerer IT-infrastrukturen til kundene døgnet rundt, og sørger for at eventuelle dataangrep oppdages før viktige verdier går tapt. Tjenesten drives av en intern eller outsourcet SOC og muliggjør ende-til-ende adressering av cybertrusler.

En analytiker kan utføre utbedring når en trussel blir oppdaget og bekreftet gjennom automatisering, inkludert bruk av et orkestreringsverktøy (SOAR for Security Orchestration Automation and Response).

På denne måten får virksomheten kontinuerlig identifisering av uønsket aktivitet i sine IT-systemer, en effektiv håndtering av eventuelle angrep og sikkerhetshendelser og en økt forståelse for hvilke cybertrusler man står overfor.

Hva er CSIRT ?

CSIRT står for Computer Security Incident Response Team. Dette teamet håndterer og responderer på hendelser.

CSIRT-teamene er alltid i beredskap: de tilfører informasjon til våre ulike trusselverktøy (Threat Intelligence). De griper også inn i kriser for å støtte selskaper i å håndtere sikkerhetshendelser og cyberangrep.

Hvilken løsning du skal velge ?

Hvert selskap har spesielle behov, og det å oppdage og svare på hendelser vil være ulikt fra ett selskap til et annet.

Det anbefales imidlertid å operere løsninger i en kombinasjon. Gartner har markedsført denne ideen siden 2015. Ifølge Gartner, for å oppnå fullstendig synlighet for trusler, er SIEM alene ikke nok. Spesielt helsekrisen og den utstrakte bruken av fjernarbeid har vist at det er viktig å sikre endepunktene.

Hva er de beste deteksjons- og responsløsningene for ditt selskap?
Ta vår test for å finne det ut!

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.