在不断增长的安全市场中,术语和首字母缩略词可能会变得令人费解。例如,许多人交替使用 SIEM 和 SOAR。尽管安全信息和事件管理 (SIEM) 和安全编排、自动化和响应 (SOAR) 具有相辅相成的功能,但它们并不是一回事。由于它们不是一回事,但具有互补的功能,因此最成功的安全运营 (SecOps) 团队使用这两种技术来优化他们的安全运营中心 (SOC)。
一、什么是 SIEM?
防火墙、网络设备和入侵检测系统会生成大量与事件相关的数据——比安全团队可以合理预期解释的数据多。SIEM 通过收集和聚合,然后识别、分类和分析事件和事件来理解所有这些数据。这通常是使用机器学习、专用分析软件和专用传感器来完成的。
SIEM 解决方案会检查日志数据中可能指示网络攻击的模式,然后关联设备之间的事件信息以识别潜在的异常活动,最后相应地发出警报。
那么为什么 SIEM 解决方案本身并不有效呢?
SIEM 工具通常需要定期调整以持续了解和区分异常活动和正常活动。定期调整的需要导致安全分析师和工程师浪费宝贵的时间来使工具为他们工作,而不是对不断涌入的数据进行分类。
二、什么是 SOAR?
与 SIEM 一样,SOAR 旨在帮助安全团队以机器速度管理和响应无休止的警报。SOAR 平台更进一步,将综合数据收集、案例管理、标准化、工作流和分析相结合,为组织提供实施复杂的纵深防御能力的能力。
例如:
SOAR 解决方案从每个集成平台收集警报数据,并将它们放在一个位置以进行进一步调查。
SOAR 的案例管理方法允许用户从单个案例中研究、评估和执行其他相关调查。
SOAR 将集成作为一种手段来适应高度自动化、复杂的事件响应工作流程,提供更快的结果并促进自适应防御。
SOAR 解决方案包括多个应对特定威胁的剧本:剧本中的每一步都可以完全自动化,也可以设置为直接从平台内一键执行(如 Swimlane),包括与第三方产品交互以进行全面集成。
简而言之,SOAR 将组织的安全工具集中的所有工具、系统和应用程序集成在一起,然后使 SecOps 团队能够自动化事件响应工作流。
SOAR 对 SOC 的主要好处是它可以自动化和编排耗时的手动任务,包括在跟踪系统(如 Jira)中打开工单,无需任何人工干预——这使工程师和分析师能够更好地利用他们的专业技能。
三、使用 SIEM 和 SOAR 改进 SecOps
SIEM 和 SOAR 都打算通过提高 SOC 的效率和减轻组织的脆弱性来改善从分析师到 CISO 的整个安全团队的生活。虽然数据的收集非常有意义,但 SIEM 解决方案产生的警报往往比 SecOps 团队在保持有效的同时可以预期的响应要多。SOAR 使安全团队能够快速有效地处理警报负载,为重要的、基于技能的任务留出时间,从而产生更高性能的 SOC。