Comment le SIEM, l'EDR et le NDR se complètent

De nombreuses organisations comptent sur la gestion des informations de sécurité et des événements (mieux connue sous le nom de SIEM) pour détecter et combattre les activités suspectes sur leurs réseaux. Bien que la technologie SIEM soit certainement incontournable, la solution présente certaines limites, surtout lorsque les réseaux deviennent plus étendus et plus complexes.

Pour créer une solution de cybersécurité complète et entièrement opérationnelle qui peut pertinemment adresser l'augementations incessantes des cybermenaces, vous seriez bien avisé de vous pencher sur les outils et les stratégies de sécurité comme les NDR et les EDR. Dans cet article, nous examinerons de plus près SIEM, EDR et NDR et vous montrerons comment les trois solutions ont le potentiel de se compléter efficacement.

Mais d’abord, nous allons expliquer rapidemment les trois concepts.

Qu’est-ce qu'un SIEM?

Le SIEM est le dénominateur commun des services logiciels qui regroupent et analysent les activités (suspectes) de nombreuses sources différentes dans votre infrastructure numérique. Le rôle principal du SIEM ? Collecter des données de sécurité à partir d’applications, de périphériques réseau, de serveurs, de contrôleurs de domaine et de bases de données. L’application de l’analytique à ces données vous permet de détecter les menaces, de découvrir les tendances et d’enquêter sur les alertes et les vulnérabilités du réseau.

Le processus SIEM comprend les étapes suivantes :

1. Collecter des données auprès de diverses sources.
2. Normaliser et agréger les données collectées.
3. Analyser les données pour découvrir les menaces.
4. Identifier les incidents de sécurité et permettre à vos experts en cybersécurité d’enquêter sur les alertes.

Qu'est-ce qu'un EDR?

EDR (Endpoint Detection and Response) est un terme qui s’applique aux solutions de cybersécurité qui mettent l’accent sur la détection d’activités malveillantes et de logiciels installés sur les terminaux (serveur, ordinateur de bureau, ordinateur portable). Les solutions EDR utilisent souvent des agents installés sur un terminal pour collecter des données provenant de différents types de sources de données directement sur le terminal. Par la suite, ils stockent l’information dans une base de données centrale.

Les outils EDR complètent les solutions SIEM. Un SIEM considère un EDR comme une source de logs distincte, qui peut fournir des informations supplémentaires précieuses à un SIEM.

Qu’est-ce qu'un NDR?

NDR (Network Detection and Response) est une solution qui ajoute du contexte aux menaces à la sécurité. Des fonctionnalités d'analyse du trafic réseau et l’inspection en temps réel des communications réseau permettent aux solutions NDR de détecter et d’enquêter sur les menaces, les comportements anormaux et les activités à risque dans tous les coins de votre réseau. Le NDR agit à titre d’expert judiciaire virtuel qui a la capacité de comprendre la portée exacte et les particularités d’un incident ou d’une brèche de sécurité.

Les solutions NDR exploitent les forces et les capacités virtuellement illimitées de l’IA, du machine learning et du deep learning pour fournir une analyse prédictive des risques. Lorsqu’il s’agit de grandes quantités d’alarmes mal contextualisées, le NDR est souvent mieux adapté que le SIEM.

Complémentarité entre SIEM, EDR et NDR

Les produits SIEM peuvent créer des rapports détaillés sur les incidents et les événements, y compris les logiciels malveillants et autres activités malveillantes. Mais ils ne peuvent pas s’adapter et ont souvent de mal à tirer les bonnes conclusions des quantités massives de données. Les NDR avancés peuvent rapidement décoder des dizaines de protocoles afin de repérer les attaques et les comportements suspects avec suffisamment de contexte et de preuves pour que les analystes puissent prendre des mesures en toute confiance.

Le NDR complète également l'EDR en comblant les lacunes des agents EDR. La combinaison de EDR et NDR agrandit et renforce votre arsenal de détection des terminaux. SIEM, EDR et NDR ont tous leurs forces et faiblesses spécifiques. La combinaison des trois permet à chaque composant d’augmenter les autres, de maximiser les forces et de minimiser les faiblesses. Le SIEM n’est certainement pas mort, mais il peut bénéficier grandement des fonctionnalités supplémentaires comme l'EDR et le NDR.