来源:https://searchdatacenter.techtarget.com/tip/SIEM-vs-SOAR-Key-considerations-for-software-evaluation
SIEM和SOAR工具现在被看作是互补的,但是在目的和特性上的关键差异可能决定了您决定在您的数据中心使用哪一个工具。
IT安全软件产品现在比以往任何时候都更加多样化,成熟的安全信息和事件管理产品面临着来自新一代安全编排、自动化和响应产品的竞争。随着这两种选择的发展,它们变得更具互补性而非竞争性。
SIEM提供了广泛的日志支持,但需要仔细的调优和手动修复。SOAR提供了强大的自动化和自主性,但依赖于连接器和剧本的有效性。
这两种产品都有一些相似的特性,但它们的优缺点也使这两种技术能够一起工作,扩展和改善组织的安全状况。当管理员权衡SIEM和SOAR的可能性时,有一些特定的功能需要评估,以便成功地选择软件。
一、SIEM是什么?
SIEM工具的主要目标是识别日志模式并提供日志分析功能。长期分析收集和汇总日志和错误数据,然后识别、关联、分类和报告关键事件。然后,管理员可以仔细评估和纠正警报。
SIEM着重于三个关键类型的特性:数据收集、聚合和关联/分析的强大使用;事件(event)的详细组织和优先次序;并及时报告和告警以解决事件(event)。
SIEM技术的主要挑战是情报。数据中心充斥着事件(event)类型,但并非所有事件(event)都是攻击或问题。它需要仔细调整以区分正常事件和异常事件,并确定适当的临界级别。SIEM工具可能会带来很高的复杂性,需要定期审查和调整,以适当地发现问题并避免误报。
1.1SIEM的功能和产品
现有的SIEM工具包括SolarWinds安全事件管理器,ManageEngine EventLog Analyzer, Splunk Enterprise Security, OSSEC, loghythm NextGen SIEM平台和RSA NetWitness Suite。
这些工具可以提供一系列惊人的特性和功能,但IT团队可以考虑列出一些特定的SIEM特性,以简化评估过程。
日志关联分析。日志互操作性是一个关键组件。SIEM工具必须从各种各样的源中获取大量的日志文件,因为日志文件没有单一的标准。
一些日志提供非常详细和细粒度的数据,而另一些可能省略细节;一些源可能以人类可读的纯文本生成日志文件,而其他工具可能以需要解析器读取的方式对数据进行编码。选择能够在组织的特定IT网络中摄取和解释日志的SIEM工具是很重要的。
但是,摄入的日志必须是相关的。读取多个日志的功能可以帮助SIEM工具理解某个日志错误可能与网络流量或错误消息相关。SIEM工具价值的基础是解码和关联这些不同数据的功能。
第三个分析特性是威胁检测,这是SIEM技术的一个关键限制。SIEM工具必须具有相关的日志数据,以识别潜在的威胁。有些威胁检测是基于日志错误和相关数据自动进行的,但是管理员仍然应该实现额外的管理调优和威胁情报,可以定义威胁行为或跳过“误报”。
事件优先级、通知和警报。SIEM工具检测威胁的能力是至关重要的,但以及时和有意义的方式向管理员传达这些威胁也是至关重要的。考虑一下,在繁忙的IT设置中,一个SIEM系统每秒可以产生成百上千个问题。
当SIEM工具检测到问题并对问题进行优先级排序时,请评估它如何支持通知。通过这些工具,管理员可以为触发事件配置操作,并向安全团队成员发送实时警报。目标是减少安全事件发生的时间。响应时间的减少有助于关键性能指标,如应用程序可用性、停机时间和用户满意度。
报告和UI。SIEM工具可以提供一系列基本的和自定义的报告,以满足特定的业务需求。例如,报告可以跟踪诸如修复的平均时间之类的指标,并指示安全团队如何每月发现和修复威胁。
一定要评估UI。许多SIEM工具提供了一个仪表板样式的UI,管理员可以配置它来显示对业务特别有价值的数据点。管理员和IT管理人员可能会忽略那些繁琐、不灵活和难以使用的UI,因此在选择SIEM软件时要考虑UI的可读性和可配置性。
工作流过程。无数的问题和警报很容易导致不完整的补救和松散的收尾工作。更多SIEM工具正在实现流程工作流,以帮助管理员跟踪事件进展,从监控、检测到补救。
二、SOAR是什么?
SOAR工具包括提供强大的分析和自动化功能的产品。这些程序减少了对传统日志的依赖,使用更多的实时数据收集,提供更快、更自主的威胁响应。
这些工具提供四种主要功能:强大的数据收集和分析功能;与系统和管理软件广泛集成;对事件的自主、政策驱动的响应;以及事件分类、警报和升级。
SOAR软件致力于加速事件检测和反应,但在情报方面仍然存在挑战。SOAR通常依靠策略和工作流来识别事件并协调适当的响应;SOAR使用的政策和工作流程剧本从来不是单一的努力。
正如SIEM管理员必须调优和调整平台以发现事件一样,SOAR管理员必须定期更新软件以处理新的或未知的威胁。
2.1SOAR的特点和产品
目前的SOAR工具包括Demisto Enterprise、LogicHub、Panaseer、Resolve Systems、response Software等。这些工具通常与SIEM产品共享类似的特性,但是SOAR产品应该专注于自动化和编配功能,它们比SIEM产品具有更大的自主性。
自动化和编制。SOAR的主要目的是减少完成安全任务所需的时间和精力。自动化在这里起着重要的作用,自动化有助于减少耗时的任务。
SOAR软件可以响应安全事件,并在票据跟踪系统中自动归档票据,并在工作流中调用任何后续步骤。由于行为是自动的,人们不需要安全警报来打开票据并手动解决问题。
协调工作流。对自动化和编制的深度依赖驱动了对工作流的密切依赖,以定义适当的步骤序列来处理和纠正安全威胁。工作流不仅涉及到安全团队,还可以跨越组织中的多个团队。
报告及案例管理。SOAR工具通过对从无数不同来源收集的所有数据应用强大的组织和分类,促进了时间节约和编组。
例如,该软件可以从多个集成系统收集告警数据,然后将其整合到一个公共位置,以进行额外的研究和调查。SOAR产品还提供强大的案例管理功能,让管理员将数据和警报与相应的罚单关联起来,以支持详细的调查。
剧本支持。剧本是一种通过概述完成一个行动所需的全部步骤来实现工作流程的方法。剧本总结了单个操作,管理员可以将多个剧本链接在一起来完成复杂的操作。IT团队还可以将剧本与发布跟踪系统联系起来,作为实现特定工作流程的特定账簿的一种方式。剧本经常被共享,并且随着威胁的发展和扩散,需要定期更新。
例如,进入问题跟踪系统的警报可能会触发网络流量与某些日志中可疑IP地址的隔离,搜索安全情报源,并检查任何受损进程或帐户的目标IP地址。
支持集成。只有在跨所有基础设施与其他系统进行全面集成时,SOAR软件才能达到节省时间的自动化和编配的有用水平。
集成通常通过允许SOAR软件互操作和自动化信息收集和响应的连接器来处理。连接器可能是SOAR中要求最高、问题最多的方面之一,因为各种各样的防火墙、端点系统、应用程序日志、路由器和SIEM工具都需要连接器。对集成系统的任何更改都可能需要管理员更新连接器。
网友评论