在查看 SOAR 与 SIEM 时,要理解主要差异并不容易,因为它们具有许多共同点。安全信息和事件管理或 SIEM 工具是一种从各种安全,网络,服务器,应用程序和数据库源集中收集相关日志和事件数据的方法。常见的来源示例包括防火墙,入侵防御系统,防病毒和防恶意软件,数据丢失防护工具和安全的 Web 内容网关。
然后,SIEM 会实时分析汇总的数据,以发现潜在的安全问题。由于分析了多个数据源,因此 SIEM 通过关联来自多个源的信息来识别威胁。然后,SIEM 会根据关键程度智能地对事件进行排名。
安全管理员通常负责筛选各种事件,以跟踪和补救潜在威胁的来源,或者简单地确认威胁并调整分析引擎,以将事件标记为良性事件。这样做有助于 SIEM 软件更好地了解被认为是真正的威胁,而不是看起来只是可疑的事件。
SOAR 和 SIEM 如何改善 SecOps
尽管 SIEM 工具已经存在多年了,但是安全协调,自动化和响应(SOAR)才是新手。当查看 SOAR 与 SIEM 时,两者都汇总了来自各种来源的安全性数据,但是所获取信息的位置和数量不同。尽管 SIEM 将从传统基础架构组件源中提取各种日志和事件数据,但 SOAR 可以吸收所有这些以及更多内容。
例如,SOAR 将从外部新兴威胁情报源,端点安全软件和其他第三方来源中获取信息,以更好地了解网络内部和外部的安全状况。SOAR 通过创建定义的基于警报的调查路径将分析提升到不同的水平。
同样,当比较 SOAR 与 SIEM 时,SIEM 仅提供警报。之后,由管理员决定调查的路径。使调查路径工作流程自动化的 SOAR 可以大大减少处理警报所需的时间。它还提供了有关完成调查路径所需的安全管理员技能集的课程。最终,正确实施的 SOAR 可以使您的网络安全团队更高效。
转载声明
本文翻译自:SOAR vs. SIEM: What's the difference?,原文链接:https://searchsecurity.techtarget.com/answer/SOAR-vs-SIEM-Whats-the-difference?