Les outils SOAR, SIEM et XDR ont certaines fonctions basiques en commun, mais chacun possède ses propres fonctionnalités et ses propres cas d’utilisation.
Les solutions de gestion des événements et des informations de sécurité (SIEM) collectent des informations provenant d’outils de sécurité internes, les regroupent dans un journal centralisé et signalent les anomalies. Les SIEM sont principalement utilisés pour enregistrer et gérer de grands volumes de données d’événements de sécurité. Les SIEM sont principalement utilisés pour enregistrer et gérer de grands volumes de données d’événements de sécurité.
La technologie SIEM est d’abord apparue comme un outil de reporting de conformité. Les SOC ont adopté les SIEM lorsqu’ils ont compris que les données SIEM pouvaient servir de base aux opérations de cybersécurité. Les solutions SOAR ont été créées pour ajouter les fonctionnalités axées sur la sécurité qui font défaut à la plupart des SIEM standard, telles que l’orchestration, l’automatisation et les fonctions de console.
Les solutions XDR (« Extended Detection and Response ») collectent et analysent les données de sécurité des terminaux, des réseaux et du cloud. Comme les SOAR, elles peuvent répondre automatiquement aux incidents de sécurité. Cependant, les XDR sont capables d’automatisations de réponse aux incidents plus complexes et plus complètes que les SOAR. Les XDR peuvent également simplifier les intégrations de sécurité, car ils nécessitent souvent moins d’expertise et/ou d’investissements que les intégrations SOAR. Certains XDR sont des solutions pré-intégrées d’un seul fournisseur, tandis que d’autres peuvent connecter des outils de sécurité de plusieurs fournisseurs. Les XDR sont souvent utilisés pour la détection des menaces en temps réel, le tri des incidents et la traque automatisée des menaces.
Les équipes SecOps des grandes entreprises utilisent souvent une combinaison de ces outils. Cependant, les fournisseurs brouillent les frontières entre eux en déployant des solutions SIEM capables de répondre aux menaces et des XDR avec un enregistrement de données de type SIEM. Certains experts en sécurité pensent que le XDR pourrait un jour absorber les autres outils, de la même manière que le SOAR a autrefois combiné ses prédécesseurs.