Le SOC s’appuie sur un ensemble d’outils pour aider les analystes en cybersécurité à surveiller en temps réel les activités de sécurité au sein de l’infrastructure IT de l’entreprise. Mais ils sont également élaborés pour aider les membres de l’équipe de sécurité à identifier, classer, analyser les incidents et événements, et y remédier.
MDR, XDR, SIEM… Quelles différences entre tous les outils SOC ?
Un centre opérationnel de sécurité est l’ensemble composé d’une équipe humaine et des solutions de sécurité qui servent de tour de contrôle et de détection pour aider les entreprises à sécuriser leur système informatique. Le SOC coordonne tous ces outils pour une surveillance et une remédiation en temps réel.
SIEM (Security Information and Event Management)
Le SIEM agrège deux éléments : un puits de logs (Security Data Lake – SDL), qui centralise les données, et un outil de détection, configurable pour identifier les failles de sécurité.
Cependant, la limite d’un SIEM est qu’en agrégeant ces deux outils, il restreint l’agilité en termes d’architecture du SDL, notamment concernant la localisation de l’outil et le format des données en entrée et en sortie. Une autre limite est son coût financier, le plus souvent corrélé au volume de données qu’il ingère.
Son rôle est de construire des règles de détection, mais attention, le nombre d’alertes peut vite devenir écrasant. Le SIEM est utilisé par le SOC pour la sécurité opérationnelle et la compliance (la détection des preuves d’intrusion en cas d’attaque).
EDR (Endpoint Detection & Response)
L’EDR est un antivirus nouvelle génération. Son rôle double et s’appuie sur des analyses à base de machine Learning : la prévention (analyse de malware non connus) et un mode réactif qui analyse les comportements sur les hôtes (laptops et servers).
Il analyse en temps réel des processus qui tournent sur les postes de travail et serveurs, afin de détecter des séquences de comportements malveillants. Il permet d’agir directement sur l’hôte (PC/serveur) et d’effectuer un premier niveau de remédiation isolé.
Il est cependant limité dans l’analyse des événements entre endpoints, tels que les mouvements latéraux et la gestion des end-points inconnus. C’est en outre un outil réactif – il agit lorsque les processus malveillants sont déjà actifs sur au moins un endpoint.
NDR (Network Detection & Response)
Le NDR analyse en temps réel la trame du réseau informatique pour identifier des flux de données entre les hôtes ainsi que les comportements malveillants. Son rôle est donc complémentaire à ceux du SIEM et de l’EDR : il couvre les réseaux, établit des liens entre les hôtes mais ne surveille pas les endpoints.
XDR (eXtended Detection & Response)
Un XDR corrèle les données de l’EDR avec les autres informations du réseau (ce qui inclut le Cloud, l’identité, l’Active Directory et les logs) pour créer des stratégies de détection par corrélation.
Il intègre aussi de modes d’automatisation de Threat Hunting en orchestrant la CTI (Cyber Threat Intelligence) et les informations contextuelles du client. Un XDR détecte ainsi les menaces plus rapidement : le temps d’enquête en est raccourci et la réponse à incident de sécurité est plus efficace grâce à une vue exhaustive de la chaîne d’événements. Il apporte aussi plus d’automatisation, de visibilité et de contexte sur les menaces.
Open XDR
Un open XDR est une déclinaison de la plateforme XDR. Son infrastructure de détection est construite pour fonctionner avec n’importe quelle interface EDR, indépendamment des éditeurs de solutions de sécurité. Une plateforme XDR est donc sans limite et « agnostique » d’un point de vue des technologies.
MDR (Managed Detection & Response)
Sur la base de solutions EDR ou XDR, le MDR est le fournisseur de services qui collecte un maximum d’informations contextualisées pour gérer des incidents de sécurité, de leur détection jusqu’à leur remédiation.
Outils SOC : comment différencier les XDR entre eux ?
Quand on parle du fonctionnement d’un SOC, il faut se poser plusieurs questions pour différencier les différents XDR.
- Sont-ils agnostiques de tous les EDR ?
- Peuvent-ils définir des plans de surveillance complets ainsi que des actions de remédiation de bout en bout ?
- Où est stockée et hébergée la donnée ?
- Peuvent-ils couvrir l’ensemble d’un périmètre client : endpoint, réseau, cloud privé et public, environnement industriel, app et tout futur périmètre ?
Pour investir dans la sécurité de votre système d’information, il faut se poser les bonnes questions : quels sont vos besoins ? Comment y répondre de la façon la plus efficace et la plus rentable ? Un SOC et ses différentes composantes sont faits pour aider les équipes de sécurité à réagir face aux menaces cyber et logiciels malveillants qui évoluent constamment. Envie d’en savoir plus ?
