Jak zintegrować SIEM z EDR i NDR dla pełnej widoczności zagrożeń

Aleksander Bronowski Data publikacji: 13.04.2026 4 min. czytania

Część organizacji, które posiada wdrożony SIEM czy EDR często popełniają błąd myśląc, że to wystarczy.

Tymczasem ruch sieciowy — szczególnie ruch wschód-zachód wewnątrz sieci — w dużej mierze pozostaje niewidoczny, jeśli opiera się wyłącznie na telemetrii z endpointów. Atakujący doskonale o tym wiedzą. Używają legalnych protokołów zarządzania, nadużywają zaufanych kanałów komunikacji między systemami i poruszają się powoli, bez wyraźnych sygnatur. EDR może wykryć pewne symptomy ruchu bocznego na hoście, ale nie zapewnia pełnej widoczności komunikacji w całej sieci.

Stąd bierze się koncepcja pełnej widoczności SOC — SIEM, EDR i NDR — która od kilku lat jest coraz mocniej zakorzeniona w praktyce zespołów SOC.

Dlaczego same połączenie SIEM + EDR nie wystarczy

EDR jest skuteczny w tym, do czego został zaprojektowany: monitoruje procesy, modyfikacje plików, połączenia sieciowe z poziomu hosta, zachowanie użytkowników na konkretnym urządzeniu. Jeśli na endpoincie dzieje się coś złego — EDR to zobaczy.

Problem pojawia się w kilku bardzo realnych scenariuszach:

Urządzenia bez agentów. Drukarki, systemy OT, kamery przemysłowe, urządzenia IoT, sprzęt medyczny — żadne z nich nie obsługuje agenta EDR. W środowiskach przemysłowych lub infrastruktury krytycznej to może stanowić większość urządzeń w sieci.

Atakujący, który już jest w środku. Jeśli ktoś uzyskał dostęp przez prawidłowe poświadczenia VPN — bo skompromitował tożsamość, a nie endpoint — nie ma żadnego procesu złośliwego, który EDR mógłby zidentyfikować. Z perspektywy endpointu wszystko wygląda normalnie.

Ruch boczny między systemami. Ktoś skanuje adresy IP, próbuje się uwierzytelnić, bada otwarte porty, nawiązuje połączenia między maszynami, z których żadna nie jest „zainfekowana” w klasycznym sensie. Na poziomie sieci zostawia wyraźne ślady. Na poziomie pojedynczego endpointu — niekoniecznie.

SIEM bez dobrego źródła danych sieciowych po prostu agreguje to, co dostarczają inne systemy. Jeśli ani EDR, ani firewall nie widzą ruchu wschód-zachód wewnątrz sieci, SIEM też tego nie zobaczy — i żadna reguła korelacji tego nie wychwyci.

Co NDR wnosi do tej układanki

NDR (Network Detection and Response) analizuje ruch sieciowy — typowo na podstawie kopii ruchu ze spanu lub TAP-a — bez potrzeby instalowania agentów na urządzeniach. To oznacza kilka rzeczy praktycznych:

NDR jest trudniejszy do ominięcia niż rozwiązania oparte wyłącznie na agentach, ale nadal podatny na techniki unikania detekcji. Atakujący może wyłączyć agenta EDR, może próbować obejść reguły sygnaturowe. W większości scenariuszy atakujący musi generować ruch sieciowy — a to właśnie ten ruch NDR analizuje. Szyfrowanie ogranicza widoczność treści, ale NDR pracuje na metadanych: kto z kim rozmawia, kiedy, jak często, jakim protokołem, jakie są wzorce połączeń.

NDR widzi to, czego EDR nie obsługuje. Urządzenia bez agentów, ruch między segmentami sieci, anomalie behawioralne w komunikacji między systemami — to naturalne pole NDR.

NDR działa na bieżąco. Silnik wykrywania działa w czasie zbliżonym do rzeczywistego i może automatycznie reagować — NDR może przerwać aktywne połączenia (np. TCP reset), a w integracji z EDR lub NAC umożliwia pełną izolację hosta. To istotne w przypadku ataków ransomware, które rozprzestrzeniają się błyskawicznie.

NDR buduje pełniejszy obraz zasobów. NDR widzi cały ruch, automatycznie mapuje urządzenia w zakresie widoczności zapewnianej przez punkty zbierania ruchu.

Jak wygląda integracja w praktyce

Integracja NDR z SIEM i EDR to nie jedno duże wdrożenie. W praktyce odbywa się to zazwyczaj etapowo i ma dwa wymiary: wzbogacanie danych i automatyzacja reakcji.

Wzbogacanie danych

NDR wysyła swoje alerty i metadane sieciowe do SIEM, gdzie są korelowane z telemetrią z endpointów i logami z innych źródeł. To daje analitykowi pełny kontekst: nie tylko „na tej stacji wykryto anomalię sieciową”, ale też „ta stacja ma zainstalowane X aplikacji, działają na niej te procesy, ostatnio logowali się ci użytkownicy”.

Odwrotna zależność też jest wartościowa: jeśli SIEM czy EDR wykryją podejrzaną aktywność na hoście, analityk może sięgnąć do danych NDR i sprawdzić, z jakimi adresami IP ten host się komunikował, kiedy i jak długo — bez przełączania się między systemami.

Remediacja

To jest ta część, którą demonstracja z pierwszego wideo pokazuje bardzo konkretnie: NDR wykrywa anomalię na stacji, a dzięki integracji z EDR może zlecić izolację hosta z sieci — bez konieczności ręcznej interwencji. Stacja zostaje odcięta od sieci, ale administrator nadal ma do niej dostęp administracyjny. Po zakończeniu analizy jedno kliknięcie przywraca łączność.

To jest ważny punkt. Wiele organizacji boi się automatycznej remediacji, bo obawia się false positives i przypadkowego odcięcia produkcji. Dobra integracja pozwala na kontrolę: niektóre wykrycia (np. próba szyfrowania plików na udziale sieciowym) mogą wyzwalać natychmiastową automatyczną blokadę, inne — tylko wysłanie alertu do analityka.

Normalizacja w SIEM

Jeden z realnych problemów przy pracy z wieloma źródłami danych to rozbieżność formatów i semantyki. SIEM pełni tu rolę warstwy normalizującej: dane z NDR czy EDR, eventy z firewalli, logi aplikacyjne — wszystko sprowadzane do wspólnego formatu, który umożliwia zaawansowaną analitykę i reguły korelacji.

Bez tej normalizacji mamy trzy osobne systemy, które produkują alerty w swoich własnych językach. Analityk musi ręcznie łączyć kontekst. To spowalnia reakcję i zwiększa ryzyko przeoczenia.

Gdzie najczęściej popełnia się błędy przy wdrożeniu

Kilka obserwacji z praktyki SOC:

Zaczynanie od SIEM bez źródeł danych. SIEM, który zbiera głównie logi z firewalla i systemów operacyjnych, jest narzędziem do przeszukiwania logów — nie platformą do wykrywania zagrożeń. Żeby SIEM był użyteczny, potrzebuje bogatych źródeł. NDR jest jednym z najbardziej wartościowych, bo dostarcza dane o aktywności, której inne narzędzia nie widzą.

Traktowanie NDR jako dodatkowej warstwy alarmów. Jeśli NDR wysyła alerty do SIEM, ale analitycy i tak analizują je osobno — bez korelacji z danymi z EDR — triada widoczności jest wdrożona tylko nominalnie. Wartość pojawia się dopiero przy połączeniu kontekstu z różnych warstw.

Zaniedbanie tuningu. System, który przez kilka tygodni uczy się baseline’u sieci, a potem jest pozostawiany sam sobie, będzie z czasem tracić na jakości wykrywania. Procesy — threat hunting, regularne przeglądy reguł, feedback loop między analitykami a systemem — są równie ważne jak same narzędzia.

Niepotrzebna złożoność przy starcie. Zbudowanie pełnej trójki SIEM + EDR + NDR z kompletną automatyzacją to projekt na wiele miesięcy. Dobra wiadomość jest taka, że NDR można wdrożyć niezależnie od reszty i stosunkowo szybko uzyskać widoczność sieci. Integracja z SIEM i EDR może następować stopniowo.

Wczesna detekcja

To jest właściwy punkt ciężkości całej koncepcji. Celem nie jest reagowanie na incydenty — celem jest wykrywanie atakujących na etapie rekonesansu i ruchu bocznego, zanim zdążą osiągnąć swoje cele.

Dane z sieci są w tym kontekście wyjątkowe: atakujący nie może zmienić tego, co robi w sieci, tak łatwo jak może zmienić sygnaturę malware’u. Behawioralna analiza ruchu — kto z kim rozmawia, kiedy i z jakimi anomaliami — jest znacznie trudniejsza do ominięcia niż detekcja sygnaturowa na endpoincie.

NDR zintegrowany z SIEM i EDR daje SOC możliwość korelacji zachowań na poziomie sieci z zachowaniami na poziomie hosta i tożsamości. Logowanie do systemu o 3:00 w nocy na konto, które nigdy wcześniej tego nie robiło, w połączeniu z ruchem sieciowym do niestandardowych adresów i próbami uwierzytelnienia na sąsiednich maszynach — to obraz, który żadne z tych narzędzi osobno nie złoży, ale wszystkie razem — tak.

Aleksander Bronowski – GTM Manager z ponad sześcioletnim doświadczeniem w doradztwie transakcyjnym i technologicznym. Na co dzień wspiera klientów w doborze i projektowaniu rozwiązań z obszaru cyberbezpieczeństwa. Specjalizuje się w obszarze zarządzania incydentami, podatnościami i ryzykiem, a także NIS 2.

Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?




    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.
    Grupa Trecom
    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać