SOAR研究报告 什么是 SIEM?什么是 SOAR?它们有何不同?

Adolfjin · 2020年07月22日 · 160 次阅读

在不断发展的安全市场中,术语和首字母缩略词可能会令人困惑。例如,许多人交替使用 SIEM 和 SOAR。尽管安全信息和事件管理(SIEM)与安全编排,自动化和响应(SOAR)具有相辅相成的功能,但它们并不是一回事。由于他们不是同一个人而是具有称赞功能,因此最成功的安全运营(SecOps)团队使用这两种技术来优化其安全运营中心(SOC)。

什么是 SIEM? 防火墙,网络设备和入侵检测系统生成大量与事件相关的数据,这些数据超出安全团队合理预期的解释范围。SIEM 通过收集和汇总然后识别,分类和分析事件与事件来理解所有这些数据。通常使用机器学习,专用分析软件和专用传感器来完成此操作。

SIEM 解决方案检查日志数据中可能表明网络攻击的模式,然后将设备之间的事件信息关联起来,以识别潜在的异常活动,最后,发出相应的警报。

那么,为什么 SIEM 解决方案本身无效?

SIEM 工具通常需要定期调整以不断了解和区分异常活动和正常活动。定期调整的需求导致安全分析人员和工程师浪费宝贵的时间在使工具适合他们的工作上,而不是对不断涌入的数据进行分类。

什么是 SOAR? 与 SIEM 一样,SOAR 旨在帮助安全团队以机器速度管理和响应无尽的警报。SOAR 平台通过将全面的数据收集,案例管理,标准化,工作流和分析相结合,为组织提供了实施复杂的纵深防御功能的能力,从而使事情进一步发展。

这是如何做:

SOAR 解决方案从每个集成平台收集警报数据,并将它们放置在单个位置以进行进一步调查。 SOAR 的案例管理方法使用户可以在单个案例中进行研究,评估和执行其他相关调查。 SOAR 建立了集成,以适应高度自动化,复杂的事件响应工作流程,提供更快的结果并促进自适应防御。 SOAR 解决方案包括多个针对特定威胁的剧本:剧本的每个步骤都可以完全自动化或设置为直接从平台(例如 Swimlane)内部一键执行,包括与第三方产品进行交互以进行全面集成。 简而言之,SOAR 将所有工具,系统和应用程序集成在组织的安全工具集中,然后使 SecOps 团队能够自动执行事件响应工作流。

SOAR 对 SOC 的主要好处是,它可以自动化和编排耗时的手动任务,包括在跟踪系统(如 Jira)中打开故障单,而无需任何人工干预,这使工程师和分析人员可以更好地利用其专业技能。 使用 SIEM 和 SOAR 改进 SecOps SIEM 和 SOAR 都打算通过提高 SOC 的效率并减轻组织的脆弱性来改善从分析师到 CISO 的整个安全团队的生活。尽管数据收集非常有意义,但 SIEM 解决方案往往会产生比 SecOps 团队预期更多的警报,同时仍然保持有效。SOAR 使安全团队能够快速有效地处理警报负载,从而为基于技能的重要任务留出了时间,从而提高了 SOC 的性能。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册