不過,隨著這兩種產品不斷發展,它們已經變得越來越具有互補性,而不是競爭性。SIEM提供廣泛的日志支持,但需要進行精心的調試和手動修復。而SOAR則提供強大的自動化和自治能力,但要依靠連接器和劇本才能發揮作用。
這兩種產品都具有相似的功能,它們之間的互補性使得這兩種技術可以協同工作,并擴展和改善改進企業的安全狀況。當管理員在評估SIEM與SOAR時,應該考慮以下因素:
什么是SIEM?
可用的SIEM工具包括SolarWindsSecurityEventManager、ManageEngineEventLogAnalyzer、SplunkEnterpriseSecurity、OSSEC、LogRhythmNextGenSIEM平臺和RSANetWitnessSuite。
這些工具都聲稱具有強大的特性和功能,IT團隊可以考慮以下SIEM功能,以簡化評估過程。
(1)日志關聯和分析。日志互操作性是關鍵組成部分。SIEM工具必須從各種各樣的數據源中提取大量日志文件,而日志文件沒有統一的標準。
有些日志提供非常詳細和細粒度的數據,而另一些日志則可能省略詳細信息;有些來源可能會以人類可讀的純文本格式生成日志文件,而其他工具可能會以需要解析器讀取的方式對數據進行編碼。這里的重點是你選擇的SIEM工具應該可在企業的特定IT網絡中提取和解釋日志。
但是,所提取的日志必須關聯。讀取多個日志的功能可幫助SIEM工具了解到,某個日志錯誤可能與網絡流量或錯誤消息相關。SIEM工具價值的基礎是解讀和關聯各種數據的功能。
第三個分析功能是威脅檢測,這是SIEM技術的關鍵限制。SIEM工具必須具有關聯的日志數據以識別潛在威脅。某些威脅檢測是基于日志錯誤和相關數據自動進行,但管理員仍應部署其他管理調試和威脅情報,以定義威脅行為或跳過“誤報”。
(2)事件優先排序、通知和警報。SIEM工具檢測威脅的能力至關重要,但重要的是,必須及時、有效地將這些威脅信息傳達給管理員。通常,在繁忙的IT環境中的SIEM系統每秒可能產生數百甚至數千個問題。
你應該評估SIEM工具在檢測到問題并確定優先級時如何發出通知。這些工具可以讓管理員為觸發的事件配置操作,并向安全團隊成員發送實時警報。這里的目的是減少安全事件活躍的時間。減少響應時間有利于關鍵性能指標,例如應用程序可用性、停機時間和用戶滿意度等級。
(3)報告和用戶界面。SIEM工具可以提供一系列基本和自定義報告,以滿足特定的業務需求。例如,報告可以跟蹤指標,例如平均修復時間,并表明安全團隊如何發現和修復威脅。
請確保評估UI。很多SIEM工具都提供儀表板式的UI,管理員可以對其進行配置,以顯示對企業特別有價值的數據點。管理員和IT經理可能會忽略笨重、不靈活且難以使用的UI,因此請在選擇SIEM軟件時考慮UI的可讀性和可配置性。
(4)工作流進程。無數的問題和警報很容易導致修復措施不完善和失敗的結果。現在越來越多的SIEM工具正在部署工作流進程,以幫助管理員跟蹤事件進度,從監視和檢測到修復。
什么是SOAR?
SOAR工具包括提供強大分析和自動化功能的產品。這些程序減少了對傳統日志的依賴,并使用更多的實時數據收集來提供更快更自治的威脅響應。
這些工具提供四種主要功能:大量使用數據收集和分析;與系統和管理軟件廣泛集成;對事件進行自主、政策驅動的響應;以及事件分類、警報和升級。
SOAR軟件可以加快事件檢測和響應速度,但是智能方面仍然存在挑戰。SOAR通常依靠策略和工作流程來識別事件并精心安排適當的響應。SOAR使用的策略和工作流程劇本從來都不是單一的工作。
正如SIEM管理員必須調試和調整平臺以發現事件一樣,SOAR管理員必須定期更新軟件以處理新的或未知的威脅。
SOAR功能與產品
當前的SOAR工具包括DemistoEnterprise、LogicHub、Panaser、ResolveSystems、RespondSoftware等產品。此類工具通常與SIEM產品具有相似的功能,但是SOAR產品應側重于自動化和編排功能,這些功能比SIEM產品具有更大的自治權。
(1)自動化和編排。SOAR的主要目的是減少完成安全任務所需的時間和精力。自動化在這里起主要作用,自動化有助于減輕耗時任務。
SOAR軟件可以響應安全事件,并在票據跟蹤系統中自動提交票據,并調用工作流程中的任何后續步驟。由于此行為是自動的,因此人類不需要安全警報即可打開故障單并手動解決問題。
(2)協調的工作流程。對自動化和編排的高度依賴導致對工作流程的高度依賴,以定義解決和糾正安全威脅的適當步驟順序。工作流不僅涉及安全團隊,還可以涉及企業內的多個團隊。
(3)報告和事件管理。通過對從無數不同來源收集的所有數據進行有效的整理和分類,SOAR工具可以節省時間和進行編排。
例如,該軟件可以從多個集成系統中收集警報數據,然后將其合并到公共位置,以進行其他研究和調查。
SOAR產品還提供強大的事件管理功能,使管理員可以將數據和警報與相應的票據關聯起來,以支持詳細的調查。
(4)支持劇本。劇本是部署工作流程的一種方式–通過概述完成某項操作所需的全部步驟。劇本會總結單個操作,管理員可以鏈接多個劇本以完成復雜的動作。IT團隊還可以將劇本與問題跟蹤系統綁定在一起,以實現針對特定工作流的特定劇本。劇本通常是共享的,并且隨著威脅的發展和擴散而需要定期更新。
例如,當警報進入問題跟蹤系統,可能會觸發將網絡流量與某些日志中的可疑IP地址隔離、搜索安全情報摘要,并檢查目標IP地址是否存在任何受感染的進程或帳戶。
(5)支持集成。僅當與所有基礎架構中的其他系統全面集成時,SOAR軟件才能達到有效水平的省時自動化和編排。
集成通常通過連接器來處理,該連接器允許SOAR軟件互操作并自動進行信息收集和響應。連接器可能是SOAR的最苛刻和最棘手的方面之一,因為各種防火墻、端點系統、應用程序日志、路由器和SIEM工具都需要連接器。對集成系統的任何更改都可能需要管理員更新連接器。
