‹ Retour vers l’espace Cybersecurity 101

XDR, SIEM et SOAR

Anne Aarness - novembre 3, 2022

Dans un récent article de blog, Allie Mellen, analyste chez Forrester, écrivait ce qui suit :

« Jusqu’il y a peu, il n’existait aucune information fiable et objective pour expliquer ce qu’est le XDR et en quoi il diffère d’une plateforme d’analyse de sécurité, ce qui a engendré une certaine confusion et indifférence de la part des clients, qui n’y voyaient qu’un autre terme de cybersécurité à la mode. »

En quoi consiste le XDR ? Remplace-t-il les solutions SIEM et SOAR ? Que doivent attendre les entreprises d’une solution XDR ? Dans cet article, nous répondons à ces questions fréquentes et à d’autres, afin d’aider les professionnels de la sécurité à s’y retrouver dans un paysage complexe et pléthorique de solutions. Mais avant de nous intéresser aux subtilités de ces systèmes, commençons par répondre à quelques questions élémentaires :

  • Qu’est-ce que le XDR ?
  • Qu’est-ce que le SIEM ?
  • Qu’est-ce que le SOAR ?

Qu’est-ce que le XDR ?

Le XDR (eXtended Detection and Response) représente la dernière évolution de l’EDR. Le XDR adopte une approche globale en matière de détection des menaces et d’intervention qui optimise l’assimilation des données de sécurité, l’analyse ainsi que les flux de prévention et de correction à l’échelle de l’infrastructure de sécurité d’une entreprise. Basé sur une console unique capable de visualiser et de traiter les données sur les menaces, le XDR permet aux équipes de sécurité de détecter facilement des menaces furtives et avancées et d’automatiser les réponses les plus complexes à l’échelle de leur infrastructure technologique de sécurité. Une plateforme XDR peut être de deux types : ouverte ou native.

Fonctionnalités de la technologie XDR :

  • Collecte, mise en corrélation et analyse des données des endpoints, des workloads cloud, des réseaux et de la messagerie au moyen d’outils d’intelligence artificielle et d’automatisation avancée
  • Priorisation des données et communication d’informations pertinentes aux équipes de sécurité dans un format normalisé via une console unique
  • Coordination des outils de sécurité cloisonnés, et unification et rationalisation des analyses de sécurité, des investigations et des corrections au sein d’une console unique consolidée
  • Accès possible à des experts chevronnés, spécialisés en Threat Hunting, en cyberveille et en analyse en cas d’achat d’une solution managée

Grâce à ces fonctions, le XDR améliore considérablement la visibilité sur les menaces, accélère les opérations de sécurité, diminue le coût total de possession et simplifie le perpétuel problème de dotation en personnel de sécurité.

Qu’est-ce que le SIEM ?

La gestion des événements et des informations de sécurité (SIEM) est un ensemble d’outils et services combinant des fonctionnalités de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM) afin de permettre aux analystes d’examiner les données des journaux et des événements, de comprendre les menaces et de s’y préparer, ainsi que de récupérer les données des journaux et d’établir des rapports sur cette base.

Fonctionnalités de la technologie SIEM :

  • Collecte des données des journaux de toute l’entreprise et utilisation de ces données pour identifier, classer et analyser les incidents et les événements
  • Visibilité sur les activités malveillantes grâce à l’extraction des données dans les moindres recoins d’un environnement, y compris depuis l’ensemble des applications et du matériel réseau
  • Regroupement de toutes les données au sein d’une plateforme centralisée unique
  • Exploitation des données pour générer des alertes, créer des rapports et faciliter la réponse à incident

Une solution SIEM permet aux entreprises d’analyser à tout moment les données du matériel et des applications réseau. Les entreprises sont ainsi à même d’identifier les menaces pour la sécurité avant que celles-ci n’aient l’occasion de perturber leurs activités.

Qu’est-ce que le SOAR ?

Une plateforme d’orchestration, d’automatisation de la sécurité et de réponse (SOAR) est un ensemble de logiciels développés pour renforcer le niveau de cybersécurité d’une entreprise. Une plateforme SOAR permet à une équipe d’analystes en sécurité de surveiller les données de sécurité provenant de diverses sources, notamment des systèmes de gestion des événements et des informations de sécurité (SIEM) et des plateformes de cyberveille.

Fonctionnalités de la technologie SOAR :

  • Collecte d’informations sur les menaces, automatisation des réponses de routine et tri des menaces plus complexes, avec pour résultat une diminution du nombre de cas où une intervention humaine est nécessaire
  • Regroupement de trois solutions logicielles — gestion des menaces et des vulnérabilités, réponse à incident et automatisation des opérations de sécurité — pour renforcer et optimiser la sécurité
  • Recours à la fois à l’intervention humaine et manuelle et à la technologie de Machine Learning pour analyser les données de sécurité entrantes et prioriser les étapes de la réponse à incident

L’objectif global d’une plateforme SOAR est de collecter des données sur les menaces afin d’automatiser les réponses. En s’appuyant sur une plateforme SOAR, votre équipe de sécurité peut améliorer son efficacité et ses délais d’intervention.

XDR Is On A Collision Course With SIEM And SOAR

Téléchargez le rapport pour découvrir comment le XDR permet d’améliorer considérablement la détection et l’intervention et ainsi d’accélérer et d’optimiser les opérations de sécurité.

Télécharger

Quelles sont les principales différences entre SIEM, SOAR et XDR ?

D’après le récent rapport de Forrester « Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR », qui peut être téléchargé sur le site web de CrowdStrike, les technologies XDR, SIEM et SOAR sont utilisées dans des circonstances similaires, mais adoptent des approches totalement différentes.

Une solution SIEM est essentiellement un outil de collecte des journaux destiné à faciliter la mise en conformité, le stockage de données et leur analyse. L’analyse de sécurité est une fonction qui est généralement greffée sur les solutions SIEM et qui est incapable d’identifier correctement les menaces sans l’exécution d’une fonction distincte d’analyse de sécurité sur des ensembles de données volumineux.

Une plateforme SOAR, comme indiqué ci-avant, intègre des fonctions d’orchestration, d’automatisation et de réponse à la solution SIEM et permet à des outils de sécurité disparates de fonctionner de manière coordonnée. Une plateforme SOAR se limite toutefois à assurer une connectivité bidirectionnelle. Dès lors, malgré son utilité, elle ne résout pas la problématique de l’analyse des big data, pas plus qu’elle ne peut protéger à elle seule les données ou les systèmes.

Le XDR a vu le jour pour combler le vide créé par les solutions SIEM et SOAR grâce à une approche très différente, axée sur l’optimisation et les données des endpoints. Le XDR possède des fonctionnalités d’analyse avancées qui permettent à l’entreprise de se concentrer sur les événements prioritaires et d’intervenir rapidement.

Questions fréquentes (FAQ) concernant les technologies SIEM, SOAR et XDR

Quelle est la relation entre les technologies SIEM et SOAR ?

Dans bien des cas, les solutions SIEM et SOAR sont utilisées ensemble. Les deux plateformes sont complémentaires et peuvent fonctionner de concert pour renforcer vos opérations de sécurité globales dans le cadre d’un processus en deux étapes :

  1. Dans le contexte de la cybersécurité, une solution logicielle SIEM a pour seul objectif de collecter et d’envoyer des alertes à l’équipe de sécurité pour investigation.
  2. L’outil SOAR utilise les données concernant les problèmes de sécurité pour automatiser la réponse. Il recourt également à l’intelligence artificielle pour anticiper les futures menaces similaires et y répondre.

La relation qui les unit est comparable à celle qui lie un assistant et un cadre. La solution SIEM collecte et corrèle les journaux pour identifier les événements pouvant être considérés comme des alertes. La plateforme SOAR reçoit des données de la plateforme SIEM, puis prend la direction des opérations de réponse.

En bref, une solution SIEM est dotée de fonctionnalités de référentiel et d’analyse des journaux, dont les plateformes SOAR sont dépourvues. En revanche, ces dernières possèdent des fonctions de réponse qui font défaut aux solutions SIEM. Sans plateforme SOAR, les équipes de sécurité devraient utiliser toute une série d’interfaces indépendantes en sus de l’outil SIEM pour pouvoir exploiter et analyser les données et les renseignements générés par la solution SIEM.

Le XDR remplace-t-il les solutions SIEM et SOAR ?

La réponse est non. Si le XDR offre aux entreprises de nouvelles fonctionnalités de sécurité et une protection renforcée, il ne peut — et ne doit pas — se substituer aux solutions SIEM et SOAR.

Le XDR ne peut pas remplacer une solution SIEM dans la mesure où cette dernière ne se limite pas à la détection des menaces et remplit d’autres fonctions, telles que la gestion des journaux, la conformité, ainsi que la gestion et l’analyse des données non liées aux menaces. Bien que le XDR puisse généralement exécuter des opérations liées aux menaces et remplacer le SIEM à cet égard, certains besoins d’une entreprise peuvent uniquement être satisfaits par une solution SIEM.

La plateforme SOAR offre quant à elle de précieuses fonctionnalités d’orchestration qui aident l’équipe de sécurité à optimiser les ressources et à prioriser les activités. Comme une solution XDR est généralement dépourvue de ces fonctionnalités, il est important de conserver le système SOAR et de l’intégrer au XDR.

Mon entreprise a-t-elle besoin des trois outils : SIEM, SOAR et XDR ?

Oui, mais pas nécessairement pour des raisons de sécurité uniquement. Dans cet article, nous avons fait le tour des différentes fonctionnalités SIEM, SOAR et XDR et montré comment ces outils fonctionnent de concert pour offrir la solution de sécurité la plus robuste et complète qui soit, en plus d’effectuer d’autres tâches. En faisant fi de l’une de ces trois fonctionnalités essentielles, les entreprises s’exposent à des compromissions potentielles et autres incidents de sécurité, ou risquent de ne pas être en mesure de respecter d’autres impératifs métier.

Les atouts de Falcon XDR

Si le XDR est considéré comme une avancée technologique extraordinaire en termes de sécurité, il règne une certaine confusion au sein du marché, et même parmi la communauté des analystes, quant à ce dont il s’agit.

Dans un récent article de blog, Falcon XDR: Why You Must Start With EDR to Get XDR, George Kurtz, fondateur et PDG de CrowdStrike, présente Falcon XDR et apporte quelques éclaircissements fort utiles sur le concept du XDR et ce marché émergent. Falcon XDR associe le Threat Hunting, le Machine Learning, l’intelligence artificielle et les indicateurs d’attaque à des sources tierces pour corréler les événements et garantir une détection en temps réel.

Falcon XDR offre aux équipes de sécurité les possibilités suivantes :

  • Unifier les données de sécurité pour optimiser la détection et l’intervention. Falcon XDR utilise les données de sources tierces (y compris celles des solutions CASB [Cloud Access Security Broker], de sécurité réseau, de sécurité de la messagerie et de sécurité du Web) provenant d’autres fournisseurs, dont les partenaires CrowdXDR Alliance, et les met en corrélation avec celles de l’architecture de sécurité cloud de CrowdStrike pour optimiser la détection des menaces en temps réel, les investigations, les interventions et le Threat Hunting.
  • Obtenir rapidement les bonnes réponses. Falcon XDR accélère le tri et les investigations des threat hunters et des analystes SOC (Security Operation Center) en leur offrant, au sein d’une console unique centralisée, une priorisation précise des alertes, une planification flexible des recherches, une détection personnalisée, un contexte complet de l’attaque ainsi qu’un outil de visualisation graphique interactif.
  • Transformer les informations XDR en actions. Pour orchestrer et automatiser les réponses dans tous les flux de travail de sécurité, Falcon Fusion, un cadre SOAR, est intégré de façon native à la plateforme Falcon. Les équipes de sécurité peuvent améliorer l’efficacité du SOC et du service informatique en développant des fonctions de notification et de réponse en temps réel, ainsi que des déclencheurs personnalisables basés sur les catégories d’incidents et de détection.
  • Optimiser l’efficacité des opérations SOC. Falcon XDR corrèle et fournit automatiquement des données de détection ultrafiables dans toute l’infrastructure de sécurité. Il accélère considérablement les investigations et le Threat Hunting en offrant une interface de recherche commune directement accessible depuis l’architecture de sécurité cloud de CrowdStrike.
  • Améliorer la rentabilité des investissements en sécurité existants. Falcon XDR extrait des informations exploitables à partir des données jusque-là cloisonnées dans des solutions de sécurité disparates et non intégrées de l’infrastructure de sécurité.

Pour en savoir plus sur les avantages distinctifs de Falcon XDR, consultez notre page produit Falcon XDR et téléchargez notre fiche technique.

À PROPOS DE L'AUTEUR

Anne Aarness est directrice principale du marketing produit chez CrowdStrike basée à Sunnyvale, en Californie.