Können Sie erklären, wie sich EDR, XDR und SIEM unterscheiden und wo jedes einzelne passt?
Kurzantwort
EDR ist endpointfokussiert: Es zeichnet Prozess-, Datei- und Netzwerkaktivität auf Hosts auf und reagiert darauf. XDR erweitert diese Korrelation über mehrere Domänen — Endpoint, Netzwerk, Identität, E-Mail, Cloud — als eine herstellerintegrierte Stack. SIEM ist die breite Log-Aggregationsschicht, die Daten aus allem aufnimmt, auch aus sicherheitsfremden Quellen, für Detektion, Suche und Compliance.
Diese drei Akronyme überschneiden sich genug, um Verwirrung zu stiften, und Hersteller verwischen die Grenzen absichtlich. Interviewer fragen das, um zu bestätigen, dass Sie jedes Tool nach seinem Datenumfang und seiner Hauptaufgabe einordnen können statt nach dem Marketing.
EDR: tief auf dem Endpoint
Endpoint Detection and Response-Agenten laufen auf Hosts und zeichnen kontinuierlich feingranulare Telemetrie auf — Prozesserstellung, Kommandozeilen, Dateischreibvorgänge, Registry-Änderungen, Netzwerkverbindungen und Eltern-/Kind-Beziehungen. Diese Tiefe erlaubt es Analysten, genau zu rekonstruieren, was auf einer Maschine geschah, und direkt zu reagieren: den Host isolieren, einen Prozess beenden oder Änderungen zurückrollen. EDR sieht eine Domäne sehr gut: den Endpoint.
XDR: Korrelation über Domänen hinweg
Extended Detection and Response verknüpft Telemetrie aus mehreren Domänen — Endpoint, Netzwerk, Identität, E-Mail und Cloud — meist innerhalb der integrierten Plattform eines Herstellers. Der Wert ist die domänenübergreifende Korrelation: Eine verdächtige E-Mail, ein bösartiger Download und ein Lateral-Movement-Versuch können automatisch zu einem einzigen Incident verknüpft werden, was schwierig ist, wenn jede Domäne ihre eigene Konsole hat.
SIEM: der breite Aggregator
Ein SIEM ist das breiteste Netz. Es nimmt Logs von allem auf, das welche erzeugt, auch von sicherheitsfremden Systemen, normalisiert sie und unterstützt benutzerdefinierte Korrelation, lange Aufbewahrung und Compliance-Reporting. Es ist herstellerunabhängig und flexibel, erfordert aber mehr Engineering, um Wert zu liefern.
Wie sie zusammenpassen
Viele SOCs setzen EDR für die Endpoint-Tiefe ein, speisen es (und alles andere) in ein SIEM für zentrale Suche und benutzerdefinierte Detektionen, und nutzen ggf. XDR für schnelle domänenübergreifende Korrelation.
Warum das wichtig ist
Den Datenumfang jedes Tools zu verstehen zeigt, dass Sie wissen, wo Sie während einer Untersuchung suchen müssen und warum kein einzelnes Tool alles abdeckt.
Wahrscheinliche Anschlussfragen
- Wann wäre ein SIEM noch nötig, wenn man bereits ein XDR hat?
- Welche Telemetrie sammelt EDR, die ein klassisches Antivirus nicht sammelt?
- Welche Kompromisse hat ein Single-Vendor-XDR gegenüber einem Best-of-Breed-SIEM?