在展会现场，我们看到了安全编排、自动化和响应 (SOAR) 的持续发展势头和兴趣。 和往常一样，我们遇到了各种各样的安全运营专家，他们感受到了太多警报、太多技术以及没有足够的流程和自动化来让这一切正常工作的压力。

在为期两天的节目中，我们被问到了几个问题，但一个问题不断出现。

“如果我实施 SOAR 解决方案，我真的需要 SIEM 吗？”

这是一个公平的问题，而且由于我们看到网络安全中许多类别发生的融合而变得更加复杂。安全运营团队有广泛的选择，从纯粹的安全编排和自动化平台到增加编排功能的传统 SIEM。凭借提供相关性和识别安全事件之间关系的能力，难怪一些 SOC 会问自己真正需要什么才能最有效地完成工作。

虽然这个问题的简短回答是 “不一定”，但我们也必须同意 Gartner 的 Anton Chuvakin 的观点，他说这实际上取决于您对 SIEM 的定义。安全团队需要日志存储库和分析功能——这不会消失，也不是 SOAR 平台的构建目标。更多的用户设备、不断增长的安全工具生态系统、高水平的网络活动以及遵守合规性法规的需要，都增加了对强大日志管理功能的持续需求。对于许多企业 SOC，这只是其 SIEM 所服务的众多重要功能之一。

撇开日志不谈——我们仍然看到很多 SIEM 和 SOAR 解决方案可以共生地协同工作，而不是相互替代，这有三个关键原因。

过程和剧本

SIEM 主要侧重于处理与过程。我们的意思是说，SIEM 在解决与摄取和关联数百万条日志相关的技术挑战方面做得很好，以显示应该提醒安全团队的日志。

但是您的团队如何知道如何处理这些警报？这就是 SOAR 介入的地方。SOAR 解决方案提供了解决一旦触发这些警报就会出现的流程挑战所需的结构。SOAR 解决方案执行此操作的主要方式之一是通过将流程记录和编码为可重复的剧本的能力。这简化了警报处理，使其在整个 SOC 中更加可预测和统一，这意味着团队始终知道要采取哪些步骤，并且可以减少未经调查的警报数量。

一块玻璃

SIEM 通过在出现恶意活动时发出警报来发挥非常重要的作用。但即使是最熟练的安全分析师也需要使用其 SIEM 之外的各种界面——EDR、威胁情报、漏洞管理、用户信息等——来汇总有关威胁的完整故事。然后，当需要补救威胁时，他们会回到这些不同的控制台。这相当于大量的屏幕切换——以及大量的时间浪费。

SOAR 解决方案通过允许安全团队自动收集他们需要的上下文来解决这个问题，以调查整个安全生态系统中的警报（或者更好的是，一组警报）。这为您的团队提供了一个威胁故事情节，可用于进行更深入的调查、加速分析并做出更明确的补救决策。一旦这些流程完成，您的分析师就可以编排必要的响应步骤并通过单个控制台触发相关的剧本。

安全运营管理

虽然许多 SIEM 提供了超出我们传统预期的广泛功能——UEBA 和自动化，仅举两例——但它们的构建并不是为了在 SOC 内统一人员、流程和技术。这确实是 SOAR 添加到 SIEM 时提供价值的地方。

通过启用安全工具生态系统的集成和编排，SOAR 平台能够为团队提供日常 SOC 操作所需的鸟瞰图。凭借强大的案例管理、优先级划分、协作和报告功能，SOAR 解决方案可以作为中心安全运营团队迫切需要的，以更加透明、有效和高效地运行。

一些具有高度前瞻性的 SOC 是否有可能在没有 SIEM 的情况下使用 SOAR 取得成功？可能是吧。但至少目前，大多数企业安全运营团队会发现 SIEM 和 SOAR 的结合是成功的正确公式。

转载：https://www.siemplify.co/blog/do-i-need-a-siem-if-i-have-soar/