虽然安全信息和事件管理 (SIEM) 被正确地认为是检测和管理威胁不可或缺的工具，但它只能做这么多，因为我们只检测威胁来响应它们。当然，成功的威胁管理需要快速的事件响应，因此安全运营团队往往过分强调检测。

组织如何才能让响应者快速修复威胁并加强安全态势以首先防止数据泄露？答案是安全编排、自动化和响应 (SOAR)。

SOAR 解决方案为 SIEM 数据添加上下文

SIEM 解决方案现在几乎部署在每个大型企业中，这是有充分理由的。事实上，在英国，RM3808 法规禁止任何组织竞标公共部门网络服务工作，除非它有适当的 SIEM 解决方案。这是有道理的：如果公司希望检测对其信息或客户信息的威胁，他们应该监控其事件和数据流。

SOAR 工具使安全运营团队能够自动化其工作流程中乏味和重复的元素，这些元素不需要人工监督，而是专注于需要洞察力和判断力的更具挑战性的任务。最好的 SOAR 解决方案丰富和关联威胁，以帮助分析师根据风险的严重程度、敏感性和/或受到威胁的业务功能的重要性，快速对案例进行分类。

许多属于分析师监督的补救任务（例如隔离端点）可以通过应用程序编程接口 (API) 与 SOAR 平台一起编排。更快的修复可以更早地解决攻击链中的事件，从而大大降低数据泄露的风险。

人员不足的安全运营团队的力量倍增器

即使您有无限的安全预算可供支配，您仍然很难聘请所需的人才和数量，以应对组织面临的持续威胁。据 Cyber​​security Ventures 统计， 2021 年，网络技能缺口产生 350 万个空缺职位。这是白帽子在网络军备竞赛中落后于日益复杂的威胁格局的原因之一。

SOAR 解决方案可以通过减轻分析师的手动工作量并提高他们优先处理最紧迫威胁并快速修复它们的能力，帮助组织解决人才缺口。

丰富和场景化：SIEM 的终点和 SOAR 的起点

供应商在描述其 SIEM 和 SOAR 解决方案的丰富和上下文化功能方面存在一定程度的重叠。这两种产品都声称它们丰富、情境化和帮助分类威胁是很常见的。但是 SIEM 在哪里结束而 SOAR 从哪里开始呢？

SIEM 是关于检测的。无法在检测层执行快速事件响应所需的自动化和编排量。如果 SIEM 工具每秒处理 10,000 到 500,000 个事件——就像在大多数情况下那样——所需的计算资源根本无法用于丰富这一数据量。那么为什么一旦 SIEM 工具产生了攻击或事件，就不能进行充实呢？

对于普通企业，只有大约 80% 或更少的事件源自 SIEM。将数据丢失防护 (DLP) 工具、托管服务警报、网络钓鱼和调查产生的事件引导到一个地方非常重要，这样您的安全运营中心 (SOC) 分析师或计算机安全事件响应团队 (CSIRT) 就可以对它们进行情境化处理并采取行动。除了根据预定义的相关性和妥协指标 (IoC) 分析大量事件和数据流的艰巨任务外，SIEM 工具并未进行优化以支持这一点。端点检测和响应 (EDR) 与威胁情报平台未集成，因此 SIEM 仅协助部分调查过程。

最后，案例管理可以说是事件响应中最重要的功能集。网络安全手册已经变得非常复杂，将它们构建到检测层所需的工作量和成本通常令人望而却步。

为什么仅靠检测是不够的

毋庸置疑，经过良好校准的检测工具可为事件响应功能提供修复威胁所需的数据。但是，拥有明确定义的事件响应计划还有助于完善和完善用于校准 SIEM 解决方案的规则和用例。好处是双向的：您在寻找哪些相关性和指标？你为什么要找他们？找到它们后，事件响应计划是什么？

我们的一个客户最近制定了一项协议，只有在他们有相关的事件响应计划时才会编写检测用例。如果您只想为可见性和指标编写 SIEM 规则，那一切都很好。但是，对此深思熟虑和诚实将使您的操作更加精简。

如果您的职能部门愿意在 SIEM 解决方案上花费数千甚至数百万美元，但没有准备好有效地处理输出的警报，那么该投资的价值是多少？为什么要等到您的 SIEM 工具发出警报后才意识到您的团队不堪重负？

转载声明

本文转载自：https://securityintelligence.com/soar-the-second-arm-of-security-operations/