China Data

行的 SIEM 替代方案是 Open XDR。它被称为一体化 SecOps 平台，提供了一种统一、自动化和简化的安全操作方式。它的特点是能够超越端点并实现整体安全态势可视性。它还涉及一种开放且与供应商无关的方法来检测和应对网络威胁。

Gartner 称，XDR（扩展检测和响应）是“一个统一的安全事件检测和响应平台，可自动收集和关联来自多个专有安全组件的数据”。Open XDR 通过覆盖现有安全组件的所有数据（而不仅仅是专有数据）来改进 XDR。


此外，Open XDR 结合了多种安全解决方案，包 阿尔及利亚电话列表 括用户实体和行为分析 (UEBA)、威胁情报平台 (TIP)、网络检测和响应 (NDR)、安全编排自动化和响应 (SOAR) 以及安全信息和事件管理 (SIEM)。

SIEM 是 Open XDR 的一部分，但这并不意味着 SIEM 可以作为更大平台下的组件或小型应用程序使用。相反，Open XDR 会在适用的情况下整合 SIEM 的功能，或集成执行 SIEM 操作的现有解决方案。

Open XDR 提供的功能范围更加广泛，它不是一个自带大量功能的平台，而是一个集成现有功能的平台。它与企业现有的安全堆栈配合使用，确保轻松快速地部署。它还全面覆盖了从检测到响应的整个威胁生命周期。

相同的目标，不同的架构
比较 Gartner对 SIEM 和 XDR 的定义，会发现两者有些相似。它们都通过对整个企业中各个安全组件获取的安全数据进行情境化来增强威胁检测。Open XDR 本质上是 XDR，强调使用集成（开放性）和全面的数据覆盖（涵盖专有和非专有数据）。

现在，比较 SIEM 和 Open XDR，可以说它们的目标是相同的结果，但在架构和方法上有所不同。而后者可以说更具优势。其优势可以总结如下：


强制规范化和丰富化——在 Open XDR 中，系统确保所有数据在存储到数据湖之前彼此相似或兼容（规范化）。如果数据不完整，则会获取并附加其他信息（丰富化）。
自动关联和情境化– Open XDR 采用人工智能自动关联警报或安全数据，以确保准确、彻底的检测。与 SIEM 下的情况不同，没有人工制定的规则。
在同一平台上快速响应– Open XDR 旨在进行关联（以检测事件）并迅速着手在同一平台内提供适当的响应。与 SIEM 相比，这使得 Open XDR 流程速度大大加快，而 SIEM 通常必须将警报传输到 SOAR 组件进行关联和适当的威胁检测。然后将处理后的信息返回到 SIEM 以获得适当的响应。
安全工具和解决方案的统一——此外，Open XDR 还具有在单一平台下访问各种安全工具（因为具有广泛的集成）的优势。如前所述，这些工具包括 UEBA、TIP、SOAR 和 NDR。使用 SIEM，安全分析师必须自己弄清楚如何组合复杂的工具。