Resumo rápido
Três peças complementares do SOC. SIEM coleta, correlaciona e retém logs (compliance, hunting, investigação). SOAR orquestra playbooks que executam resposta de forma consistente e automatizada. XDR detecta ameaças correlacionando telemetria entre superfícies (endpoint, rede, e-mail, cloud, identidade). Em SOCs maduros, os três coexistem.
SIEM
Centro de gravidade analítico — onde logs vivem por anos e onde compliance, hunting e investigação acontecem.
SOAR
Trilho de automação. Recebe alertas (de SIEM, EDR, XDR) e executa playbooks de triagem, enriquecimento e contenção.
XDR
Detecção nativa cross-domain — reduz silos de alertas vindos de fornecedores diferentes.
| Critério | SIEM | SOAR | XDR |
|---|---|---|---|
| Categoria | Plataforma analítica de logs | Plataforma de orquestração | Plataforma de detecção |
| Função primária | Coletar, correlacionar, reter logs | Orquestrar playbooks de resposta | Detectar por correlação multi-superfície |
| Telemetria típica | Logs de qualquer fonte (200+) | Alertas + APIs de outras ferramentas | Endpoint, rede, e-mail, cloud, identidade |
| Retenção de dados | Longa (meses-anos) | Curta (dias-semanas, por caso) | Curta-média |
| Compliance fit | Alto (logging regulatório) | Baixo | Médio |
| Caso de uso primário | Investigação, hunting, conformidade | Automação operacional | Detecção e resposta |
| Modelo de regras | Correlação, queries, ML | Playbooks (visuais ou as-code) | Detecções nativas + ML |
| Tempo até valor | Médio-longo | Curto-médio | Médio |
| Modelo de custo | Por volume (GB/dia ingeridos) | Por playbook/usuário/ação | Por endpoint/superfície |
| Integrações típicas | 200+ fontes de log | 300+ ferramentas via API | 30-80 fontes nativas |
| Profissionais necessários | Engenheiro de SIEM, analistas | Engenheiro SOAR | Detection engineer, analista SOC |
| Falsos positivos | Altos (depende de tuning) | Consome FPs, não os gera | Médios (correlação reduz) |
| Conformidade legal (LGPD/PCI) | Excelente | Limitada | Limitada |
| Visibilidade cross-domain | Depende das fontes ingeridas | Depende das integrações | Nativa |
| Threat intelligence | Via parsers/feeds | Via APIs CTI | Embarcada |
| Automação de resposta | Limitada | Alta | Média-alta (cross-domain) |
| Lock-in | Médio (dados portáveis) | Alto (playbooks proprietários) | Alto |
| Curva de implantação | Longa (parsers, casos) | Curta-média | Média |
| Substitui o SOC? | Não | Não | Não |
| Onde brilha | Conformidade, retenção, analítica | Reduzir MTTR, escalar L1 | Detecção entre silos |
Como decidir
- Setor regulado (financeiro, saúde, energia): SIEM é obrigatório. XDR e SOAR vêm em sequência.
- SOC pequeno com alto volume de alertas repetitivos: priorize SOAR para automatizar L1.
- Stack fragmentado entre múltiplos fornecedores (EDR, e-mail, identidade): XDR consolida — mas avalie o lock-in.
- Startup ou PME sem time: XDR + MDR pode atender — SIEM e SOAR ficam para depois.
- Cobertura cross-domain necessária: XDR primeiro, SIEM como camada longa, SOAR conforme volume.
Aprofunde nos conceitos
- Como escolher o stack do SOC moderno (artigo completo)
- SIEM — implementação e casos de uso
- SOAR — automação e orquestração
- XDR — Extended Detection and Response
- Comparador: EDR vs XDR vs MDR
Perguntas frequentes
SIEM, SOAR e XDR são tecnologias concorrentes?
Não. SIEM agrega e correlaciona logs com retenção longa. SOAR orquestra playbooks de resposta. XDR detecta entre superfícies. Eles convivem — o XDR moderno pode reduzir, mas não substituir, o SIEM em cenários regulados.
Qual a ordem de adoção recomendada?
Para um SOC do zero: comece com EDR + SIEM básico, evolua para XDR cobrindo as superfícies de maior risco, e adicione SOAR quando o volume de alertas justificar automação. Pular o SIEM sai caro em compliance e investigação.
Como medir ROI de SOAR?
Por redução de tempo médio de resposta (MTTR), por automação efetiva de casos repetitivos (% de alertas resolvidos por playbook sem intervenção) e por liberação de tempo do L1 para hunting e melhoria contínua.
XDR substitui SIEM em ambiente regulado?
Geralmente não. Reguladores e auditorias frequentemente exigem retenção de logs por anos, com integridade e independência da plataforma de detecção. Mantenha o SIEM como camada de conformidade, mesmo que reduzido.
Modelagem do stack SOC para seu cenário
Avaliamos sua arquitetura, casos de uso e maturidade — e desenhamos o stack certo, com TCO estimado.
Falar com Especialista