如果您从事 IT 和网络安全行业已有一段时间,那么您很可能以前曾使用过 SOAR 和 SIEM 术语,但是许多专业人士仍然对其用途和目的感到困惑。那是什么 他们在做什么?它们是一样的吗?在您的安全运营基础架构中,您需要一个还是另一个?下面,我们将解释它们背后的基础,它们之间的差异以及它们如何无缝协作以在事件响应过程和任务方面加速安全操作。
什么是 SIEM? SIEM 代表安全信息和事件管理。这是指收集和存储安全数据的技术。SIEM 可以收集的数据示例包括防火墙,入侵检测系统,网络设备等。收集,解析和存储此数据是信息管理元素。
SIEM 解决方案如何工作? SIEM 通过进一步识别和分析来汇总并关联所有这些收集的数据。通常,这是借助特殊的分析和机器学习软件来完成的。SIEM 工具会检查数据中是否有可能表明存在攻击的模式,并针对任何异常活动将设备之间的事件信息相关联,并在必要时发出警报。
SOAR 和 SIEM-如果我有 SIEM,为什么还需要 SOAR? 为了能够区分正常活动和可疑活动,SIEM 工具需要定期升级和调整,这应该由分析师和工程师来完成。正确调整 SIEM 后,响应 SIEM 生成的警报仍然是手动过程。分析人员必须对每个警报进行审查和调查,以确定事件是否为假阳性,还是需要进一步调查和补救的实际事件。在实际事件中,调查和补救活动也将是手动过程。
尽管许多 SIEM 拥有超出我们期望的广泛功能,但它们并不是为了统一安全运营中心(SOC)中的人员,流程和技术而创建的。这是 SOAR 解决方案发挥作用的地方,可以与 SIEM 工具一起有效使用。当 SIEM 检测到潜在的安全事件并触发警报时,SOAR 解决方案会将这些警报提升到下一个级别,对它们做出响应,对数据进行分类,并在必要时采取补救措施。因此,SOAR 可以为可能已经使用的现有 SIEM 解决方案增加可观的价值。
在这里让我们强调一下,尽管 SIEM 解决方案具有重要功能,但即使是最熟练的分析师,在分析 SIEM 生成的警报的过程中也将需要不同的帮助和界面,例如漏洞管理或威胁情报,以将问题周围的点连接起来。安全威胁。同样在当今容易受到威胁的组织中,通常没有足够的安全分析人员来应对 SIEM 工具生成的警报量不断增长的情况。在大多数情况下,这些警报中有很大一部分将是误报,最终导致宝贵的时间和精力浪费在手动的人工流程和任务上,而真正的威胁却很容易被忽视而无法通过网络。
什么是 SOAR? Gartner 采用的安全编排,自动化和响应(SOAR)术语是当今用于安全操作和事件响应的一种方法,可以用来提高安全操作的效率,效力和一致性。为了更好地理解这意味着什么,让我们分别看一下它的组件:
安全协调 –协调工具堆栈中使用的各种不同的安全工具和技术(通常来自各个供应商),以无缝集成并相互通信,以建立可重复,可实施,可测量且有效的事件响应流程和工作流。人员和流程也必须适当地编排,以确保最大的效率。
安全自动化 -一种无需手动人工干预即可自动处理任务和流程的方法,它通过自动化可重复的流程并将机器学习应用于适当的任务来减少这些时间。自动化通常通过使用剧本和运行手册(前者包含线性任务,而后者包含基于决策的条件动作)来实现,以减少或消除必须执行的平凡动作。
安全响应 -确认警报后解决和管理安全事件的方法,包括分类,遏制,修复等。如今,自动执行许多操作,例如隔离文件和禁用对受感染帐户的访问,因此可以立即解决曾经构成真正威胁的事件。
SOAR 解决方案如何工作? SOAR 解决方案使安全团队能够自动收集所需的上下文,以进一步调查整个生态系统中生成的警报。通过使用 SOAR 平台,可以将安全警报自动响应,将所有需要的工具和技术无缝地编排在一起,以提供各个难题。然后,通过触发各种操作手册和运行手册来执行最适当的响应步骤和操作,以适应不同的威胁。最终,这可以确保对所有警报做出响应,同时腾出宝贵的分析时间,使他们能够处理更高优先级或更复杂和更主动的任务(例如威胁搜寻),而只是在大多数情况下自动执行决策以及在需要时。
SOAR 充当力量倍增器,它使安全团队可以用更少的资源做更多的事情,同时提供自动化,协调,响应和测量整个事件响应生命周期的功能,包括检测,安全事件鉴定,分类和升级,充实,遏制和补救。 。利用 SOAR 技术的一些主要好处包括减少从漏洞发现到解决的时间,将安全事件引起的风险最小化,提高 SOC 运营的整体效率和效率,同时增加现有安全技术的投资回报率。
SOAR 与 SIEM 的结合 - 成功的秘诀? 尽管某些 SOC 在没有 SIEM 或 SOAR 解决方案的情况下仍然有可能继续运行,但是许多安全团队会同意,成功的秘诀就是两者兼具。每天生成的安全事件的数量可能是实施 SIEM 工具的关键决定因素,并且在选择是否实施 SOAR 解决方案时,有效响应所有这些警报的能力可能会成为决定因素。
对于一个可能每天用有限的劳动力每天接收数百个警报的大型组织来说,将 SIEM 工具与 SOAR 解决方案集成在一起,可以结合使用每个工具的强大功能来创建更强大,高效和响应迅速的安全程序。利用 SIEM 吸收大量数据并生成警报的能力,然后可以将 SOAR 解决方案放在 SIEM 之上,以管理对每个警报的事件响应过程,从而自动化和编排平凡的重复性任务,否则,需要花费很多人工分析人员的时间才能完成。
SOAR 解决方案(包括来自 DFLabs 的 IncMan SOAR)支持 SIEM 集成,例如 ArcSight,Elastic,FortiSIEM,LogPoint,McAfee,RSA 和 Splunk,仅举几例,它们共同确保了不遗漏任何警报。更重要的是,SOAR 解决方案与 SIEM 一起工作,可确保及时处理所有警报,并按照一套一致且可重复的标准对它们采取行动,而在按顺序遵守法规时,这一因素变得尤为重要满足事件通知和违规报告要求。