什么是 SOAR？SIEM 的优势，功能和主要区别 随着大多数组织将机密信息在线或迁移到云中，利用自动化的网络安全解决方案来快速识别和解决潜在的攻击至关重要。尽管许多企业正在集成 SOAR（安全性，自动化和响应）以简化和响应安全威胁，但是还有许多其他应用程序（例如 SIEM）可以优化 SOC。   在 IT 安全领域，SIEM 和 SOAR 都是常用的首字母缩写词，都是指提供互补功能的不同类型的安全解决方案。尽管仅使用 SOAR 来管理安全威胁，甚至两者都不用，但是使用 SOAR 和 SIEM 对于许多组织来说是一个更好的选择，因为 SOAR 大大增强了 SIEM 的功能。

什么是 SIEM？

SIEM 代表安全信息和事件管理，是一种应用程序，可以分析来自各种 IT 系统的日志数据以扫描潜在的安全威胁。当它检测到可能的威胁时，会生成警报，目的是促使人类工程师采取行动。SIEM 还可以生成有关其收集的数据的基本报告。 尽管 SIEM 是 SOAR 的重要组成部分，但其功能范围仅限于检测可以根据日志数据识别的威胁。他们不会编排事件响应，也不会使用超出日志可用范围的数据来使警报上下文化。这就是仅 SIEM 不足以应对所有安全威胁的原因。 输入 SOAR –解决 SIEM 不能解决的安全风险的解决方案。

什么是 SOAR？

SOAR 是软件程序和工具的组合，允许组织在单个平台上综合和自动化安全操作，威胁情报和事件响应。 例如，使用防火墙应用程序，SOAR 可以自动阻止试图强行登录的计算机的 IP 地址。SOAR 可以比人工管理员接收警报，打开防火墙应用程序和手动阻止有问题的 IP 地址更快地完成此任务。 由于 SOAR 提供了 SIEM 的核心数据收集和分析功能，因此可以仅使用 SOAR。但是，如果使用 SIEM 来处理此任务，则安全性操作是最有效的，这使 SOAR 可以专注于解决 SIEM 无法解决的其他挑战。

SIEM，SOAR 还是两者？

尽管 SIEM 和 SOAR 都可以帮助组织应对安全威胁，但它们可以满足根本不同的需求。SIEM 可以帮助团队根据从应用程序和基础架构收集的数据来检测威胁，而 SOAR 可以帮助他们评估从这些数据发出的警报，更有效地响应威胁并根据更广泛的数据点来跟踪持续的安全趋势。  SIEM 和 SOAR 是互补技术，而不是替代技术。 仅使用 SIEM，您就只会收到有关潜在威胁的警报。您的安全操作（SecOps）团队仍将独自对它们进行响应。但是，通过添加 SOAR，您的 SecOps 团队可以更好地应对几个常见的挑战：

警报过载：SIEM 可能生成太多警报，以至于分析人员无法跟上。通过使对许多警报的响应自动化，SOAR 有助于防止 SOC 人员变得不知所措并遭受警报疲劳。

分散的工具：通过自动部署安全工具，SOAR 可以帮助 SecOps 团队充分利用所有可用的安全工具，即使它们包含许多不同类型的工具也是如此。

手动过程：严重依赖手动过程的安全操作不仅速度缓慢，而且容易出错或不一致。

人才短缺：很难找到优秀的 SecOps 工程师。而且，当您雇用他们时，您不想将他们的时间和技能浪费在乏味的重复性安全任务上。SOAR 可以自动执行这些任务，因此工程师可以自由地专注于更复杂的问题并充分利用其专业知识。

4 种独特的 SOAR 功能

SOAR 本身提供了可满足大多数 SOC 需求的广泛功能。SOAR 的主要功能包括：

编排和自动化：SOAR 通过使用剧本自动执行许多响应安全事件所需的任务，从而帮助团队从简单地收集与安全性相关的数据跃升为简化安全性操作的过程。

威胁调查：SOAR 允许工程师通过警报分组等功能对不同类型的事件进行优先级排序，警报分组是一种以威胁为中心的调查方法，可在警报中查找上下文关系，并在识别出后将这些警报分组为一个案例。 此外，它还可以帮助团队更有效地共享安全信息，从而实现更好的协作。

报告和分析：除了响应安全事件外，SOAR 还可以生成报告，以提供对组织内部安全趋势的洞察。

SOC 工作台：SOAR 是 SecOps 团队的中心站，用于监视和响应警报，以及就响应进行通信和协作。 

好处 SOAR 提供了一系列好处，使 SecOps 更加高效和高效。

提高分析师的工作效率：SOAR 使您的 SecOps 团队更加高效地工作，从而使分析师可以覆盖更多的领域并从事更高级别的任务，而不必响应可以使用自动剧本更好地管理的反复出现的威胁。

自动化事件响应：SecOps 团队通过利用 SOAR 更快地响应警报，因为许多响应操作可以自动化并即时执行，而无需等待人工干预。

平台整合：借助 SOAR，SecOps 工程师可以从一个中央位置进行工作，而无需浏览一系列分散的安全工具。这样就无需在处理事件时在多个工具之间来回移动，从而节省了时间和精力。

改进报告和知识捕获：SOAR 的内置报告和分析功能有助于更快地整合信息，从而实现更高效的数据管理并更容易识别持续改进的机会。

在业务中使用 SOAR SOAR 代表了 SecOps 工具的下一个重大发展。通过使事件响应自动化，它使您的团队可以更高效地工作，更快地缓解威胁并充分利用其专业知识。通过这些方式以及更多方式，SOAR 实现了安全操作中一定程度的复杂性和自动化，这是仅 SIEM 所无法实现的。无论您同时使用 SIEM 和 SOAR，还是单独使用 SOAR，您都可以获得这些好处。

文章来源：https://www.siemplify.co/resources/what-is-soar-security-orchestration-automation/