EDR vs SIEM - czym się różnią?

EDR (Endpoint Detection and Response) to rozwiązanie, które do ochrony wykorzystuje analitykę w czasie rzeczywistym i automatyzację. Procesy wspierane są możliwościami oferowanymi przez sztuczną inteligencję. System chroni użytkowników końcowych organizacji, urządzeń końcowych i zasobów IT przed licznymi zagrożeniami. Co istotne, także tymi, które omijają oprogramowanie antywirusowe i inne tradycyjne narzędzia zabezpieczające punkty końcowe. Gromadzi dane ze wszystkich punktów końcowych w sieci - komputerów i laptopów, serwerów, urządzeń mobilnych, urządzeń IoT (Internet of Things) i innych i analizuje dane w czasie rzeczywistym. Inaczej mówiąc, EDR przejmuje rolę tradycyjnych rozwiązań zabezpieczających punkty końcowe (antywirus, anty-malware).

Czym jest system SIEM? W przypadku technologii SIEM (Security Information and Event Management),  dane pochodzą z dzienników zdarzeń z różnych źródeł. Technologia obejmuje całą infrastrukturę IT, zbierając dane z różnych źródeł, takich jak serwery, sieci, aplikacje i urządzenia końcowe. System klasy SIEM identyfikuje aktywność odbiegającą od normy za pomocą analizy danych w czasie rzeczywistym i podejmuje odpowiednie działania odnośnie incydentów bezpieczeństwa.

Już po pierwszych informacjach rysują się wyraźne różnice. O ile system EDR skupia się na endpointach, czyli urządzeniach końcowych, takich jak komputery stacjonarne, laptopy i serwery, o tyle SIEM zbiera i centralizuje logi oraz zdarzenia z różnych systemów IT. EDR umożliwia zaawansowane analizy i inspekcje zachowań na poziomie urządzenia końcowego, podczas gdy technologia SIEM skupia się na dostarczaniu ogólnego obrazu stanu bezpieczeństwa organizacji. Różne dane będą służyły różnym celom i zakresom ochrony. Konsekwentnie też, w różny sposób będą podejmowane reakcje na incydenty.

W przypadku SIEM reakcją będą zazwyczaj alerty i raporty, które wymagają analizy przez zespół bezpieczeństwa. Niemniej jednak zaawansowane rozwiązania SIEM mogą inicjować automatyczne działania w reakcji na wykryte zagrożenia. Np. blokowanie adresów IP czy izolowanie segmentów sieci. EDR dysponuje bezpośrednimi środkami do odpowiedzi na zagrożenia na urządzeniach końcowych. W tym przypadku będzie to izolowanie urządzeń, usuwanie złośliwego oprogramowania, eliminacja procesów czy odzyskiwanie danych. Działania są często bardziej zautomatyzowane i bezpośrednie. Zautomatyzowane funkcje reagowania mogą bez interwencji człowieka identyfikować i powstrzymywać potencjalne zagrożenia bezpieczeństwa, które przenikają przez granice sieci, zanim zdążą wyrządzić poważne szkody.

W kontekście porównania EDR vs SIEM należy wskazać, że u samej podstawy obu rozwiązań leżą inne założenia i priorytety. Nowoczesne systemy SIEM oferują szeroki widok na całą infrastrukturę IT. Umożliwiają identyfikację zagrożeń na poziomie sieci i aplikacji. Natomiast EDR koncentruje się na urządzeniach końcowych dostarczając szczegółowych informacji o aktywności na poziomie urządzenia. Dodatkowo, aktywnie reaguje na zagrożenia. EDR nie dostarcza tak szerokiego zakresu danych i kontekstu dotyczącego incydentów, jak SIEM łączący informacje z różnych źródeł. Niemniej jednak umożliwia zrozumienie zachowania użytkowników na urządzeniach końcowych i reagowanie na poziomie urządzenia.

W związku z tym oba rozwiązania są rozwiązaniami komplementarnymi. SIEM, jako centralne narzędzie analityczne znakomicie wspiera zespoły SOC (Security Operations Center) na polu zarządzaniu incydentami. System EDR stanowi naszą bezpośrednią zautomatyzowaną linię obrony przed zagrożeniami wspierając system bezpieczeństwa organizacji.