Dễ hiểu với thuật ngữ an ninh mạng: MDR, SOC, EDR, XDR, SOAR và SIEM

• EDR là gì? XDR là gì? SIEM là gì? SOAR là gì?
• Đâu là sự khác biệt giữa SIEMvà SOAR?
• Sự khác biệt giữa XDR và ​​SIEM/SOAR là gì?
• MDR là gì? SOC là gì?
• Điểm mấu chốt

MDR, SOC, EDR, XDR, SOAR và SIEM, tất cả có nghĩa là gì?

Trong lĩnh vực an ninh mạng, chúng tôi nổi tiếng với việc sử dụng quá nhiều từ viết tắt hai, ba và thậm chí bốn từ. Ít nhất, nếu bạn chưa quen với không gian này, những điều này có thể gây nhầm lẫn. Để làm cho mọi thứ dễ dàng hơn một chút, chúng tôi đã tạo ra hướng dẫn này! Nó giải thích một số thuật ngữ quan trọng nhất trong lĩnh vực phát hiện và ứng phó sự cố , một lĩnh vực chính để bảo mật tài sản kỹ thuật số của công ty.

Đọc tiếp để khám phá câu trả lời cho những câu hỏi sau:

•   EDR và ​​XDR là gì – và sự khác biệt giữa chúng là gì?
•   SIEM và SOAR là gì – và chúng bổ sung cho nhau như thế nào?
•   Sự khác biệt giữa XDR và ​​SIEM/SOAR là gì?
•   Làm thế nào để tất cả các điều khoản trên phù hợp với MDR và ​​SOC?

EDR là gì?

Phát hiện và phản hồi điểm cuối Endpoint detection and response (EDR) là một giải pháp được thiết kế để phát hiện và điều tra các mối đe dọa mạng trên các thiết bị điểm cuối như PC, máy tính xách tay hoặc máy chủ. Trái ngược với phần mềm chống vi-rút, EDR không chỉ phát hiện các mối đe dọa trên mạng bằng cách quét các tệp để tìm chữ ký vi-rút mà còn bằng cách xem xét hành vi của các thiết bị đầu cuối. Khi phát hiện hành vi đáng ngờ, công cụ này sẽ thông báo cho nhóm bảo mật CNTT và đề xuất các hành động khắc phục. Công cụ EDR cũng có thể cung cấp các phản hồi giảm thiểu tự động, chẳng hạn như cách ly điểm cuối.

EDR bao gồm:

•   Giám sát điểm cuối và ghi nhật ký sự kiện
•   Tìm kiếm dữ liệu, điều tra và săn lùng mối đe dọa
•   Phát hiện hoạt động đáng ngờ
•   Khả năng đề xuất các hành động khắc phục
•   Phản ứng giảm thiểu tự động

 Tham khảo giải pháp

XDR là gì?

Phát hiện và phản hồi mở rộng Extended detection and response  (XDR) là sự phát triển của giải pháp EDR. XDR mở rộng phạm vi phát hiện ra ngoài các điểm cuối – cung cấp khả năng phát hiện, phân tích và phản hồi trên nhiều nguồn dữ liệu. XDR thu thập dữ liệu và phân tích hành vi của tất cả các lớp và ứng dụng CNTT. Ngoài các điểm cuối, điều này bao gồm các thành phần mạng và dịch vụ đám mây. Bằng cách này, XDR tạo ra một cái nhìn toàn diện về bảo mật CNTT và các mối đe dọa mạng có thể xảy ra, giúp đơn giản hóa các hoạt động điều tra và ứng phó.

 XDR bao gồm:

•   Việc giám sát các nguồn dữ liệu từ các miền khác nhau
•   Tìm kiếm dữ liệu, điều tra và săn tìm mối đe dọa trên nhiều miền
•   Phân tích sự kiện định hướng mối đe dọa
•   Phát hiện hoạt động đáng ngờ
•   Khả năng đề xuất các hành động khắc phục
•   Phản ứng giảm thiểu tự động nâng cao

Tham khảo giải pháp 

SIEM là gì?

 

Quản lý sự kiện và thông tin bảo mật Security information and event management (SIEM) là một giải pháp cho phép các tổ chức tập trung, tương quan và phân tích dữ liệu trên mạng CNTT để phát hiện các vấn đề bảo mật. Các khả năng chính của SIEM bao gồm quản lý và tập trung nhật ký, phát hiện sự kiện bảo mật, khả năng báo cáo và tìm kiếm. Nó cho phép các nhà phân tích kiểm tra dữ liệu nhật ký và sự kiện, đồng thời cho phép họ theo dõi và ghi nhật ký dữ liệu bảo mật cho các mục đích kiểm toán và tuân thủ.

Giải pháp SIEM cho phép các nhóm bảo mật CNTT:

•   Thu thập và tương quan dữ liệu nhật ký
•   Sử dụng dữ liệu để xác định, phân loại và phân tích các sự cố và sự kiện
•   Hợp nhất dữ liệu đa miền trong một nền tảng trung tâm
•   Tạo cảnh báo và báo cáo
•   Hỗ trợ ứng phó sự cố
•   Lưu trữ dữ liệu nhật ký cho mục đích tuân thủ và kiểm toán

Tham khảo giải pháp 

SOAR là gì?

 

Điều phối, tự động hóa và phản hồi bảo mật Security orchestration, automation and response (SOAR) là một giải pháp bổ sung và hỗ trợ các nền tảng SIEM. SOAR nhằm mục đích làm phong phú dữ liệu sự kiện, đơn giản hóa việc xác định các sự cố nghiêm trọng và tự động hóa các hành động phản hồi đối với các sự kiện hoặc trình kích hoạt cụ thể. Mục đích là chỉ làm leo thang các mối đe dọa khi cần có sự can thiệp của con người.

Các giải pháp SOAR cho phép các nhóm bảo mật CNTT:

•   Thu thập thông tin về các mối đe dọa bảo mật từ nhiều nguồn khác nhau và cung cấp những thông tin này một cách tập trung
•   Tự động hóa phản ứng của họ đối với các mối đe dọa bảo mật
•   Giảm thiểu sự can thiệp của con người

Tham khảo giải pháp

Đâu là sự khác biệt giữa SIEMvà SOAR?

Cả hai giải pháp đều thu thập thông tin bảo mật từ nhiều miền. Tuy nhiên, các chức năng chính của chúng khá khác nhau. SIEM tập trung vào phân tích dữ liệu thu thập được, phát hiện các mối đe dọa và cảnh báo. Mặt khác, SOAR tập trung vào việc tạo phản hồi tự động cho thông tin được thu thập. Các giải pháp SIEM rất hiệu quả trong việc phát hiện các cuộc tấn công mạng, nhưng chúng cần có sự can thiệp thủ công của các nhà phân tích bảo mật để chống lại chúng. SOAR có thể hoạt động độc lập hơn nhiều. 

Sự khác biệt giữa XDR và ​​SIEM/SOAR là gì?

SIEM thu thập, tổng hợp, phân tích và lưu trữ một lượng lớn dữ liệu nhật ký từ nhiều miền khác nhau. Điều này cho phép các nhóm bảo mật áp dụng các trường hợp sử dụng khác nhau cho dữ liệu – bao gồm cả việc sử dụng dữ liệu cho mục đích kiểm tra và tuân thủ. Các giải pháp SIEM đòi hỏi nhiều nỗ lực triển khai và tinh chỉnh. Chúng có thể cảnh báo cho các nhà phân tích, nhưng không bao gồm các hành động phản hồi tự động.  

Ngược lại, XDR tích hợp một bộ công cụ điều tra, phân tích hành vi và khắc phục tự động vào một nền tảng duy nhất. Trọng tâm của nó là phát hiện mối đe dọa nâng cao và tạo phản ứng phù hợp. Điều đáng chú ý là XDR không có khả năng ghi nhật ký, lưu giữ hoặc tuân thủ của SIEM.

SOAR cung cấp khả năng điều phối giúp các nhóm bảo mật CNTT tối ưu hóa tài nguyên và ưu tiên các hoạt động. Thông thường, giải pháp XDR không có những khả năng này. 

MDR là gì?

Phát hiện và phản hồi được quản lý Managed detection and response  (MDR) là một dịch vụ bao gồm giám sát và phân tích bảo mật, cũng như một yếu tố ứng phó với mối đe dọa. Mặc dù phần mềm rất quan trọng ở đây, nhưng chìa khóa cho dịch vụ MDR thành công là có các nhà phân tích có tay nghề cao tham gia. Đây thường là sự khác biệt giữa thành công và thất bại.

MDR bao gồm:

•   nhà phân tích bảo mật CNTT
•   quy trình
•   Công cụ bảo mật CNTT
•   Giám sát an ninh liên tục
•   săn lùng mối đe dọa
•   Mối đe dọa và ưu tiên cảnh báo
•   phân tích bảo mật
•   Hành động phản hồi bảo mật

SOC là gì?

Trung tâm điều hành an ninh security operations centre  (SOC) là một trung tâm điều khiển trung tâm được thiết kế để bảo vệ cơ sở hạ tầng CNTT của các tổ chức. SOC chịu trách nhiệm giám sát các hệ thống liên quan đến bảo mật. Nó cũng phân tích và định tính các mối đe dọa, cũng như khởi tạo và hỗ trợ các hành động ứng phó sự cố. Các nhà phân tích SOC thường làm việc cùng với các chuyên gia an ninh mạng từ các lĩnh vực khác trong các quy trình phối hợp bằng các công cụ chuyên dụng.

Một SOC điển hình bao gồm:

•   Một trung tâm điều khiển trung tâm
•   nhà phân tích bảo mật CNTT
•   quy trình
•   Công cụ bảo mật CNTT
•   Các dịch vụ bảo mật CNTT khác nhau

 

Điểm mấu chốt

Tất nhiên, các định nghĩa trên không dễ hiểu. Các tính năng của chúng có thể thay đổi đôi chút dựa trên các nhà cung cấp dịch vụ bảo mật được quản lý khác nhau. Thông thường, chúng tôi thấy rằng các công cụ (EDR, XDR, SIEM, SOAR) có một số tính năng và chức năng chồng chéo. Nhưng bất chấp điều đó, họ cần các chuyên gia chuyên môn vận hành chúng để đảm bảo kết quả đáng tin cậy, hiệu quả.

#SIEM, #SOC, #EDR, #XDR, #SOAR ,#MDR