在查看 SOAR 与 SIEM 时，要理解主要差异并不容易，因为它们具有许多共同点。安全信息和事件管理或 SIEM 工具是一种从各种安全，网络，服务器，应用程序和数据库源集中收集相关日志和事件数据的方法。常见的来源示例包括防火墙，入侵防御系统，防病毒和防恶意软件，数据丢失防护工具和安全的 Web 内容网关。

然后，SIEM 会实时分析汇总的数据，以发现潜在的安全问题。由于分析了多个数据源，因此 SIEM 通过关联来自多个源的信息来识别威胁。然后，SIEM 会根据关键程度智能地对事件进行排名。

安全管理员通常负责筛选各种事件，以跟踪和补救潜在威胁的来源，或者简单地确认威胁并调整分析引擎，以将事件标记为良性事件。这样做有助于 SIEM 软件更好地了解被认为是真正的威胁，而不是看起来只是可疑的事件。

SOAR 和 SIEM 如何改善 SecOps

尽管 SIEM 工具已经存在多年了，但是安全协调，自动化和响应（SOAR）才是新手。当查看 SOAR 与 SIEM 时，两者都汇总了来自各种来源的安全性数据，但是所获取信息的位置和数量不同。尽管 SIEM 将从传统基础架构组件源中提取各种日志和事件数据，但 SOAR 可以吸收所有这些以及更多内容。

例如，SOAR 将从外部新兴威胁情报源，端点安全软件和其他第三方来源中获取信息，以更好地了解网络内部和外部的安全状况。SOAR 通过​​创建定义的基于警报的调查路径将分析提升到不同的水平。

同样，当比较 SOAR 与 SIEM 时，SIEM 仅提供警报。之后，由管理员决定调查的路径。使调查路径工作流程自动化的 SOAR 可以大大减少处理警报所需的时间。它还提供了有关完成调查路径所需的安全管理员技能集的课程。最终，正确实施的 SOAR 可以使您的网络安全团队更高效。

转载声明

本文翻译自：SOAR vs. SIEM: What's the difference?，原文链接：https://searchsecurity.techtarget.com/answer/SOAR-vs-SIEM-Whats-the-difference?