Das SIEM nutzt diese Informationen zusammen mit weiteren Ereignissen von verschiedenen Sicherheitsgeräten und -anwendungen in Echtzeit und korreliert diese Daten, um potenzielle Bedrohungen zu erkennen und Alarme zu generieren. Auch Cyber Defense Analysten verwenden die Informationen, die durch NDR gesammelt werden, um wiederum die Erkennungsregeln im SIEM anzupassen und zukünftige Angriffe besser zu erkennen und abzuwehren.
Die Ergänzung von NDR mit EDR
Der Fokus von Endpoint Detection & Response (EDR)-Lösungen liegt auf der Erhöhung der Visibilität von Anomalien auf dem Endpunkt: Der Schutz findet direkt auf den Endgeräten und nicht an der Netzwerkgrenze statt. Endpunkte – also alle Geräte, die mit einem Netzwerk verbunden sind – stellen potenzielle Einfallstore für Cyberbedrohungen dar. Mit EDR werden die Aktivitäten der Endgeräte in Echtzeit erfasst, protokolliert und analysiert. Somit stellen EDR-Lösungen einen wertvollen Bestandteil des Cyber Defense-Toolsets dar, sind jedoch durch ihren Fokus auf Endgeräte nicht in der Lage, Netzwerkverkehr und -aktivitäten zu überwachen, die außerhalb des Endgeräts stattfinden. Diese Art von Überwachung und Analyse erfordert eine Network Detection and Response (NDR)-Lösung. Die Technologien ergänzen sich somit ideal und führen dazu, dass durch die Korrelation der gewonnenen Informationen ein detaillierteres Sicherheitsbild entsteht und Angriffe umfassend erkannt und abgewehrt werden können.
Fazit
Nach wie vor vertrauen SOC-Teams bei ihrer Arbeit in hohem Maße auf Tools zur Erkennung und Reaktion von Endpunkten (EDR) sowie zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM). Diese Tools können jedoch keinen Einblick in den Datenverkehr bieten und geben somit nur einen kleinen, sehr begrenzten Ausschnitt über sicherheitsrelevante Vorgänge. Erst durch die Ergänzung mit einem NDR können Cyberangriffe frühzeitig erkannt, analysiert und gezielt abgewehrt werden. Die Kombination von NDR, EDR und SIEM ermöglicht es, Bedrohungen und Angriffe auf Anwendungs-, Netzwerk- und Endpunktebene zu erkennen und umgehend zu reagieren.