Quelles sont les différences entre XDR et SIEM ?

Au cours des vingt dernières années, les plateformes de gestion de l’information et des événements de sécurité (SIEM) ont été l’une des principales solutions de gestion de cybersécurité, car elles aident les équipes de sécurité à centraliser les activités de détection des attaques et des menaces. L’industrie de la cybersécurité évolue maintenant vers un nouveau type de solution appelée détection et réponse étendues (XDR pour Extended Detection and Response).

Comme les deux technologies sont similaires et ont des capacités communes, beaucoup de gens ne savent toujours pas faire la différence. Cependant, le choix de la bonne solution est essentiel à la construction d’une architecture de sécurité efficace et durable qui répond aux besoins spécifiques des clients des MSP.

Différences entre XDR et SIEM

La différence cruciale entre les deux solutions est que le SIEM adopte une approche plus générale qui la rend moins efficace que les plateformes XDR. Ces dernières sont hautement spécialisées dans la corrélation des informations de sécurité et sont capables de détecter les attaques et les menaces avec beaucoup moins d’effort. Les outils SIEM permettent aux entreprises de collecter des logs et des alertes à partir de plusieurs solutions. Cependant, cette technologie n’inclut pas l’analyse ou l’automatisation, contrairement au XDR qui intègre des éléments EDR et MDR, formant ainsi une solution de bout en bout qui améliore la détection et la réponse. Le XDR utilise les données collectées auprès du système SIEM pour fournir un volume plus digeste d’alertes et de données, ce qui en fait le complément idéal de la technologie SIEM.

De plus, on peut dire que le XDR offre une alternative aux approches réactives traditionnelles qui offrent une visibilité en couches sur les attaques, telles que l’EDR, le NDR et l’analyse du comportement des utilisateurs (UBA pour User Behavior Analysis) ou même le SIEM. Il est capable de mettre en œuvre des actions de réponse en obtenant des données de différentes sources, en les corrélant et en les classant automatiquement pour générer une détection. Une fois qu’une menace a été détectée, on lui attribue un score critique sur la base duquel une action spécifique est effectuée. Elle peut également être programmée pour être effectuée plus tard ou chaque fois qu’une situation future répondant à ces mêmes critères se produit. En comparaison, un système SIEM est passif et informe les utilisateurs en générant des alertes qui doivent être gérées par du personnel qualifié.

Les quatre points suivants mettent en évidence les principales différences entre les deux solutions

Objectif

La plupart des solutions SIEM offrent des capacités centralisées de gestion et d’analyse des logs pour une entreprise. Cela implique de générer des alertes, de corréler les données de plusieurs solutions sélectionnées et de mettre en place une analyse post-événement. Le SIEM peut également être utilisé pour le monitoring de la conformité, le confinement et la génération de rapports plus complets.

Le XDR se concentre sur l’utilisation des données qu’il collecte pour améliorer la détection et la réponse aux menaces. Son objectif est d’identifier, d’enquêter et de prendre les mesures appropriées pour résoudre les incidents rapidement et efficacement.

Complexité de la gestion 

Comme elles sont plus ouvertes, les solutions SIEM nécessitent souvent un effort de gestion important pour les connecter à des sources de données, corréler des événements et configurer des alertes. Compte tenu de la quantité d’informations qu’elles traitent pour une visibilité centralisée, elles produisent un grand nombre d’alertes individuelles qui sont difficiles à classer et à hiérarchiser.

En revanche, les solutions XDR sont conçues pour s’intégrer plus facilement dans l’architecture de sécurité d’une entreprise. L’avantage est qu’elles réduisent le nombre d’alertes pertinentes afin d’éviter d’en omettre. En déployant la corrélation automatique des données depuis différentes couches de sécurité, les alertes peuvent être confirmées automatiquement. Cela réduit ainsi le temps dont les analystes de sécurité ont besoin pour évaluer les alertes et les risques afin de  décider de ce qui nécessite une attention et une enquête plus approfondie. De plus, la configuration centralisée aide à hiérarchiser les actions nécessaires en générant une pondération des alertes. Le XDR nécessite également moins d’heures de formation et offre une gestion unifiée et un workflow qui s’étend sur plusieurs composants de sécurité.

Stockage des données 

Alors que les solutions SIEM agissent comme un référentiel central de données pour les entreprises de sécurité telles que les MSP et permettent un stockage à long terme, le XDR quant à lui, accède généralement aux données provenant d’autres sources qu’il stocke temporairement, uniquement à des fins d’analyse.

Réactivité

Bien que la plupart des SIEM actuels aient également des capacités de réponse, ils sont, en principe, un outil d’analyse de données qui fournit  aux MSP les données et les alertes nécessaires pour identifier les menaces attaquant une entreprise. Le XDR étend ces capacités et peut soutenir et coordonner les efforts de réponse au sein d’une même solution.

Comment les MSP peuvent-ils aider leurs clients à choisir les solutions qui répondent le mieux à leurs besoins ?

Les MSP ont besoin d’atouts pour faire face à la concurrence et répondre aux exigences de sécurité changeantes de leurs clients. En ajoutant des solutions telles que XDR et SIEM à leur offre, ils peuvent aider les entreprises à renforcer leur sécurité tout en améliorant leur propre efficacité opérationnelle. Cependant, pour apporter de la valeur ajoutée grâce à ces solutions, ils doivent être en mesure de guider leurs clients et de leur recommander la solution la mieux adaptée à leurs besoins.

Le SIEM peut être un outil utile si le client a le temps et les ressources pour s’y consacrer. Par exemple, si l’entreprise a des exigences en matière de conformité et de gestion des risques opérationnels, en plus de la détection des menaces, elle peut exiger d’un système SIEM qu’il réponde à ces besoins plus larges en matière de génération de rapports et de collecte de données.

Si l’entreprise utilise déjà une solution SIEM, il est conseillé d’intégrer une solution XDR pour compléter et amplifier les capacités de réponse de l’équipe.

Le principal défi que le SIEM pose est la désensibilisation aux alertes de sécurité (alert fatigue). Ces solutions génèrent un grand nombre d’alertes, y compris de faux positifs. De ce fait, si le client est doté d'une petite équipe, elle peut se retrouver submergée par toutes ces alertes et avoir des difficultés à les classer et à investiguer. Comme il s’agit d’une solution plus large et plus complexe, les coûts sont plus élevés, ce qui peut être une entrave pour les entreprises de taille moyenne.

Le XDR est idéal pour les petites et moyennes entreprises car il permet d’économiser des ressources, du temps et des coûts. Mais il est important de souligner qu’il s’agit d’une solution plus spécialisée, tandis qu’un SIEM est plus large et peut corréler des données plus disparates, dont certaines en provenance d’autres solutions, au-delà du firewall et des endpoints tels que les logs de proxy ou d’application.  Néanmoins, l’automatisation élimine une grande partie du travail requis par une solution SIEM et cette technologie ne nécessite pas un tel niveau de spécialisation de la part de l’équipe, ce qui est bienvenu, compte tenu de la pénurie actuelle de talents spécialisés en cybersécurité. Dans une certaine mesure, une solution XDR comme ThreatSync de WatchGuard résout certains des principaux défis posés par les solutions SIEM, mais en fin de compte, tout dépendra des capacités et de la situation du client.

Si vous souhaitez en savoir plus sur cette technologie, accédez à l’univers du XDR de WatchGuard et découvrez comment ThreatSync peut vous aider à tirer parti de la puissance de la sécurité unifiée. Si vous voulez découvrir quels autres avantages les solutions XDR et SIEM peuvent offrir, n’hésitez pas à consulter nos articles de blog dédiés au fonctionnement du XDR.