近日,美国一家网络信息安全新成立公司Exabeam公布进到XDR,这实际上并算不得什么大信息,但是这个企业的精准定位却让原本简易的事儿复杂化了,Exabeam是一家SIEM供应商。
XDR现阶段仍是一个新型的安全领域,融合了安全性信息和事件管理方法(SIEM)、安全性编辑自动化技术和响应(SOAR)、节点检验与响应(EDR)及其数据流量剖析(NTA),集中化安全性数据信息和事件响应,是一种跨好几个安全性层搜集并全自动关系信息以完成迅速危害检验的方式。此次行为禁不住让大伙儿想到到,SIEM是不是会从此转为XDR。
依据Forrester投资分析师Allie Mellen常说,XDR和SIEM并并不是结合,反而是互相撞击。
因而,SIEM的最后结果是:要不自主创新,要不身亡!
XDR是对SIEM供应商的敲警钟吗?
Mellen表示,SIEM在过去的十年中早已在渐渐地演变了。如今大部分都包括了SOAR部件,及其聚类分析、由此可见性和用户行为分析,抑或是最少给予与这种道具的别的供应商集成化。但是,这也是还不够的。
SIEM根据搜集很多数据信息、运作安全性剖析和“海底捞针”来寻找危害,XDR则是根据另一个视角。XDR采用的办法是再次提升节点的维护,随后在这个基础上运用来源于互联网等真真正正强悍的信息来开展丰富。
XDR的重要差异就在于其在节点危害检验和响应的基本。
Mellen想向SIEM供应商传递的信息是,供应商必须做大量的革新并寻找更强的办法来处理SOC的困扰,这对供应商而言是一个敲警钟。伴随着XDR的迅速发展趋势,SIEM行业总算拥有了真真正正的竞争者,这针对SIEM生产商而言既是挑戰,也是机会,由于安全性领域最可以拉下差异的便是专业技能领域的差别。
XDR供应商的多元化
现阶段,Palo Alto Networks、趋势科技、SentinelOne和CrowdStrike等XDR初期使用者早已发布了XDR服务平台,做为XDR供应商,他们“对以后拥有强悍的发展战略”。
Mellen将Exabeam叙述为朝向XDR的自主创新SIEM游戏玩家。
Exabeman给予给安全性投资分析师的信息全是测试用例推动的,投资分析师可以掌握怎么看待进攻,这对当红投资分析师或缺乏经验的投资分析师而言十分有利。Exabeman的危害检验、调研和响应(TDIR)测试用例包内置在其Fusion XDR中,给予了标准工作流引擎和数据库、检验实体模型、监控目录、调研明细和响应等內容。
另一个有意思的是Rapid7。就在上一个月,Rapid7回收了Velociraptor,这是一个开源系统技术社区,用以节点监管、多位调查取证和事件响应。本次回收将协助Rapid7创建事情响应和节点工作能力-假如Rapid7进到XDR,这两项工作能力都将起到主要功效。
Rapid7还根据统一和回收向云安全市场涉足。2022年2月,它回收了Kubernetes安全性企业Alcide,大概一年前,它回收了互联网安全趋势管理方法服务提供商DivvyCloud。
SIEM的还击
SIEM的管理者Splunk表明,并不担忧XDR会腐蚀安全性剖析销售市场。
Splunk承担网络安全产品的高级副总裁Jane Wong明确提出,XDR现阶段并不可以替代安全性研究网站或安全性信息和事件管理方法(SIEM)解决方法,现阶段也是一个并存的局势。
她填补说,事实上,Splunk的安全性研究服务平台可以协助XDR提高危害检验工作能力。
Exabeam在对于XDR和SIEM的发展方向层面持有者的观念也是相近的。Exabeam总裁商品官Adam Geller说,顾客始终不可能在其安全运营核心中只有一个服务平台或供应商。因而,顾客将自始至终要与供应商不相干的安全性剖析服务项目,可以跨全部自然环境中的全部数据信息。
他填补说:“现如今的XDR游戏玩家和EDR玩家都是在试着根据回收来提升大量的日志搜集、储存和查找作用。可是大部分企业生产制造的全是终端设备,这也代表着,与供应商不相干才算是最需要留意的挑戰。”
除此之外,愈来愈多的顾客将数据储存在好几个数据湖和集成电路工艺云服务提供商的数据储存中,并期待可以有一种能够跨不一样的云和数据湖浏览那些数据信息的危害检验和响应服务项目。
Geller说,“我不知道SIEM是不是会像顾客的安全性数据湖一样始终存有下来,也不知道这类方式是不是会始终存有下来,由于无论数据储存在哪儿,关键的是能浏览那些数据信息。在这样的情况下,XDR或SIEM将来都是会再次演化,如今还不好说。”