近日,美国网络安全初创公司Exabeam宣布进军XDR。这本身并不是什么大新闻,但公司的定位让事情变得复杂起来。Exabeam是一家SIEM提供商。XDR仍然是一个新兴的安全领域,结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、端点检测和响应(EDR)以及网络流量分析(NTA)来集中安全数据和事件响应。一种跨多个安全层收集和自动关联信息以快速检测威胁的方法。这一举动不禁让大家思考SIEM是否会在这方面转向XDR。根据Forrester分析师AllieMellen的说法,XDR和SIEM不是融合,而是碰撞。所以SIEM的最终游戏:创新或死亡!XDR是否为SIEM供应商敲响了警钟?Mellen说SIEM在过去十年中缓慢发展。大多数现在包括SOAR组件,以及网络分析、可见性和用户行为分析,或者至少提供与这些工具的其他供应商的集成。然而,这还不够。SIEM通过收集大量数据、运行安全分析和“大海捞针”来寻找威胁,而XDR从不同的角度来看待它。XDR采取的方法是继续为端点添加保护,然后使用来自网络等的真正强大的信息来丰富它。XDR的关键区别在于它在端点威胁检测和响应方面的基础。Mellen给SIEM厂商的信息是,厂商需要做更多的创新,找到更好的方法来解决SOC痛点,这应该给厂商敲响警钟。随着XDR的飞速发展,SIEM领域终于有了真正的竞争者。这对SIEM厂商来说既是挑战也是机遇,因为技能的差异最能拉开安全行业的差距。XDR厂商差异化目前,PaloAltoNetworks、TrendMicro、SentinelOne和CrowdStrike等XDR早期采用者都推出了XDR平台,作为XDR厂商,他们“对未来有很强的战略”。Mellen将Exabeam描述为XDR的创新SIEM播放器。Exabeman向安全分析师提供的信息是用例驱动的,分析师可以了解如何应对攻击,这对新手或没有经验的分析师非常有益。Exabeman的威胁检测、调查和响应(TDIR)用例包内置于其FusionXDR中,提供规范的工作流和数据源、检测模型、监视列表、调查清单和响应等。另一个有趣的是Rapid7。就在上个月,Rapid7收购了Velociraptor,这是一个用于端点监控、数字取证和事件响应的开源技术社区。此次收购将帮助Rapid7构建其事件响应和端点功能——如果Rapid7进入XDR,这两者都很重要。Rapid7还通过并购进军云安全市场。2月,它收购了Kubernetes安全公司Alcide,大约一年前,它收购了云安全态势管理提供商DivvyCloud。SIEM反击SIEM领导者Splunk表示,它并不担心XDR会侵蚀安全分析市场。Splunk安全产品副总裁JaneWong指出,XDR目前无法取代安全分析平台或安全信息与事件管理(SIEM)解决方案,仍是一种并存的局面。她补充说,事实上,Splunk的安全分析平台可以帮助XDR增强其威胁检测能力。Exabeam对XDR和SIEM的未来也有类似的看法。Exabeam首席产品官AdamGeller表示,客户的安全运营中心永远不会只有一个平台或供应商。因此,客户总是需要与供应商无关的安全分析服务,这些服务可以跨越所有环境中的所有数据。他补充说:“今天的XDR播放器和EDR播放器正试图通过收购来增加更多的日志收集、存储和搜索能力。但大多数公司生产的是终端产品,这也意味着它与供应商无关。这是值得的挑战最受关注。”此外,越来越多的客户将数据存储在多个数据湖和超大规模云提供商数据存储中,并希望有一种方法能够跨不同的云和数据湖访问这些数据的威胁检测和响应服务。“我不不知道SIEM是否会像客户的安全数据湖一样永远存在,或者这种方法是否会永远存在,因为无论数据存储在何处,访问它都很重要,”Geller说。在这两种情况下、XDR或SIEM未来会继续进化,现在还不好说。”
