Sikkerhetsovervåkning: valg av strategi og verktøy

I dagens digitale landskap er sikkerhet en topp prioritet for bedrifter i alle størrelser. Mange ser behovet for å komme i gang med logging og overvåkning for sikkerhetslogger, ofte i etterkant av hendelser i sin virksomhet. 

For noen år siden var det «SIEM» (Security Information and Event Management) som var den store driveren for å implementere sikkerhetsovervåkning. Dette var større prosjekter med kompliserte vurderinger av tekniske loggdata, og ofte litt for tungt for små og medium størrelse bedrifter. 

Men verktøystøtten har endret seg i nyere tid. Den klassiske «Antivirus» løsningen har utviklet seg til det vi nå kaller «Endpoint Detection and Response (EDR)» løsninger. Og etter hvert har produsentene bygget på med løsninger for servere, sky og til og med OT-overvåkning, samlet alle produktene i en felles intelligent plattform som er det vi i dag kaller for en «eXtended Detection and Response (XDR)» løsning. 

Her har «XDR» leverandøren bygget sikkerhetsovervåkingen ferdig for deg! Alt man trenger å gjøre er å installere produktene på systemene i virksomheten.  

Med å ta i bruk XDR produkter får bedriften:   

1. Moderne Antivirus som alarmerer og stopper basert på oppførsel 
2. Sentral logging fra alle systemer 
3. Sårbarhetes-kartlegging i både konfigurasjon og programvare 
4. Responsmuligheter for å etterforske og isolere hendelser 

i èn enkel og ferdig-samlet portal som man kan fortsette å utvide med produkter etter hvert som virksomheten vokser. 

Er XDR døden for SIEM løsninger? 

På ingen måte. SIEM løsninger har absolutt en verdi for de større virksomhetene som har helt unike trussel-profiler. XDR-løsningene vi ser per dags dato har eksempelvis ikke støtte for skreddersydde logger, brannmur logger eller applikasjons-spesifkke logger. 

XDR løsninger er et fantastisk sted for alle virksomheter å starte, og dersom man over tid får mer avanserte sikkerhets-behov, som for eksempel å integrere brannmur-logger i overvåkningen, vil det være naturlig å integrere eksisterende XDR løsning inn i en SIEM-løsning som for eksempel Sentinel eller QRadar og bygge videre derifra. 

Konklusjon 

Mens SIEM-tjenester tilbyr omfattende sikkerhetsfunksjoner, kan Microsoft Defender XDR være et utmerket valg for bedrifter som ønsker en enkel, integrert og kostnadseffektiv løsning for å komme i gang med avansert trussel beskyttelse og sikkerhetsovervåkning. 

Move tilbyr «Move Managed Defender XDR» som en driftet tjeneste der vi behandler innkommende alarmer på vegne av kunder samt rådgivning til lisensiering og installasjon. 

Move Managed Defender XDR tjenesten kan derifra bygges på med en SIEM-løsning om kundens behov endrer seg, hvor vi kan tilby både Sentinel og QRadar som gode alternativer avhengig av kundes ønske og retning av sky eller on-premises.