来源:https://swimlane.com/blog/siem-soar/
术语和首字母缩写词在日益增长的证券市场中可能变得错综复杂。例如,许多人交替使用SIEM和SOAR。尽管安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR)具有相互补充的功能,但它们并不是一回事。由于它们不是一回事,但是具有互补的功能,所以最成功的安全操作(SecOps)团队使用这两种技术来优化他们的安全操作中心(SOC)。
一、SIEM是什么?
防火墙、网络设备和入侵检测系统会生成大量与事件相关的数据——这些数据超出了安全团队的合理预期。SIEM通过收集和聚合所有这些数据,然后识别、分类和分析事件,从而理解所有这些数据。这通常是通过机器学习、专门的分析软件和专用传感器完成的。
SIEM解决方案检查日志数据,寻找可能表示网络攻击的模式,然后关联设备之间的事件信息,以识别潜在的异常活动,最后发出相应的警报。
那么,为什么SIEM解决方案本身没有效果呢?
SIEM工具通常需要定期调整,以不断地理解和区分异常活动和正常活动。对定期调优的需求导致安全分析人员和工程师浪费宝贵的时间使工具为他们工作,而不是分流不断涌入的数据。
二、SOAR是什么?
与SIEM一样,SOAR旨在帮助安全团队以机器的速度管理和响应无休止的警报。SOAR平台将综合数据收集、案例管理、标准化、工作流和分析相结合,为组织提供了实现复杂纵深防御能力的能力。
方法如下:
SOAR解决方案从每个集成的平台收集警报数据,并将它们放在一个单独的位置进行进一步的调查。
SOAR的案例管理方法允许用户从单个案例中研究、评估和执行额外的相关调查。
SOAR将集成作为一种手段来适应高度自动化、复杂的事件响应工作流,交付更快的结果并促进适应性防御。
SOAR解决方案包括多个剧本以应对特定的威胁:剧本中的每一步都可以完全自动化,或者可以在平台内(类似于泳道)直接设置为一键执行——包括与第三方产品的交互以实现全面集成。
简而言之,SOAR有时也称为安全自动化和编制(SAO)集成了所有的工具,系统和应用程序在一个组织的安全工具集,然后使SecOps团队自动化事件反应工作流。
SOAR对SOC的主要好处是它可以自动化和编排耗时的手工任务,包括在Jira等跟踪系统中打开票据,而不需要任何人工干预——这使得工程师和分析师可以更好地利用他们的专业技能。
使用SIEM和SOAR来改进SecOps
SIEM和SOAR都打算通过提高SOC的效率和减少组织的脆弱性来改善整个安全团队(从分析师到CISO)的生活。虽然收集的数据非常有意义,但是SIEM解决方案生成的警报比SecOps团队预期的要多,而且仍然有效。SOAR使安全团队能够快速有效地处理警报负载,为重要的、基于技能的任务留出时间,从而实现更高性能的SOC。
网友评论