不過(guò),隨著這兩種產(chǎn)品不斷發(fā)展,它們已經(jīng)變得越來(lái)越具有互補(bǔ)性,而不是競(jìng)爭(zhēng)性。SIEM提供廣泛的日志支持,但需要進(jìn)行精心的調(diào)試和手動(dòng)修復(fù)。而SOAR則提供強(qiáng)大的自動(dòng)化和自治能力,但要依靠連接器和劇本才能發(fā)揮作用。
這兩種產(chǎn)品都具有相似的功能,它們之間的互補(bǔ)性使得這兩種技術(shù)可以協(xié)同工作,并擴(kuò)展和改善改進(jìn)企業(yè)的安全狀況。當(dāng)管理員在評(píng)估SIEM與SOAR時(shí),應(yīng)該考慮以下因素:
什么是SIEM?
可用的SIEM工具包括SolarWindsSecurityEventManager、ManageEngineEventLogAnalyzer、SplunkEnterpriseSecurity、OSSEC、LogRhythmNextGenSIEM平臺(tái)和RSANetWitnessSuite。
這些工具都聲稱具有強(qiáng)大的特性和功能,IT團(tuán)隊(duì)可以考慮以下SIEM功能,以簡(jiǎn)化評(píng)估過(guò)程。
(1)日志關(guān)聯(lián)和分析。日志互操作性是關(guān)鍵組成部分。SIEM工具必須從各種各樣的數(shù)據(jù)源中提取大量日志文件,而日志文件沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。
有些日志提供非常詳細(xì)和細(xì)粒度的數(shù)據(jù),而另一些日志則可能省略詳細(xì)信息;有些來(lái)源可能會(huì)以人類可讀的純文本格式生成日志文件,而其他工具可能會(huì)以需要解析器讀取的方式對(duì)數(shù)據(jù)進(jìn)行編碼。這里的重點(diǎn)是你選擇的SIEM工具應(yīng)該可在企業(yè)的特定IT網(wǎng)絡(luò)中提取和解釋日志。
但是,所提取的日志必須關(guān)聯(lián)。讀取多個(gè)日志的功能可幫助SIEM工具了解到,某個(gè)日志錯(cuò)誤可能與網(wǎng)絡(luò)流量或錯(cuò)誤消息相關(guān)。SIEM工具價(jià)值的基礎(chǔ)是解讀和關(guān)聯(lián)各種數(shù)據(jù)的功能。
第三個(gè)分析功能是威脅檢測(cè),這是SIEM技術(shù)的關(guān)鍵限制。SIEM工具必須具有關(guān)聯(lián)的日志數(shù)據(jù)以識(shí)別潛在威脅。某些威脅檢測(cè)是基于日志錯(cuò)誤和相關(guān)數(shù)據(jù)自動(dòng)進(jìn)行,但管理員仍應(yīng)部署其他管理調(diào)試和威脅情報(bào),以定義威脅行為或跳過(guò)“誤報(bào)”。
(2)事件優(yōu)先排序、通知和警報(bào)。SIEM工具檢測(cè)威脅的能力至關(guān)重要,但重要的是,必須及時(shí)、有效地將這些威脅信息傳達(dá)給管理員。通常,在繁忙的IT環(huán)境中的SIEM系統(tǒng)每秒可能產(chǎn)生數(shù)百甚至數(shù)千個(gè)問(wèn)題。
你應(yīng)該評(píng)估SIEM工具在檢測(cè)到問(wèn)題并確定優(yōu)先級(jí)時(shí)如何發(fā)出通知。這些工具可以讓管理員為觸發(fā)的事件配置操作,并向安全團(tuán)隊(duì)成員發(fā)送實(shí)時(shí)警報(bào)。這里的目的是減少安全事件活躍的時(shí)間。減少響應(yīng)時(shí)間有利于關(guān)鍵性能指標(biāo),例如應(yīng)用程序可用性、停機(jī)時(shí)間和用戶滿意度等級(jí)。
(3)報(bào)告和用戶界面。SIEM工具可以提供一系列基本和自定義報(bào)告,以滿足特定的業(yè)務(wù)需求。例如,報(bào)告可以跟蹤指標(biāo),例如平均修復(fù)時(shí)間,并表明安全團(tuán)隊(duì)如何發(fā)現(xiàn)和修復(fù)威脅。
請(qǐng)確保評(píng)估UI。很多SIEM工具都提供儀表板式的UI,管理員可以對(duì)其進(jìn)行配置,以顯示對(duì)企業(yè)特別有價(jià)值的數(shù)據(jù)點(diǎn)。管理員和IT經(jīng)理可能會(huì)忽略笨重、不靈活且難以使用的UI,因此請(qǐng)?jiān)谶x擇SIEM軟件時(shí)考慮UI的可讀性和可配置性。
(4)工作流進(jìn)程。無(wú)數(shù)的問(wèn)題和警報(bào)很容易導(dǎo)致修復(fù)措施不完善和失敗的結(jié)果。現(xiàn)在越來(lái)越多的SIEM工具正在部署工作流進(jìn)程,以幫助管理員跟蹤事件進(jìn)度,從監(jiān)視和檢測(cè)到修復(fù)。
什么是SOAR?
SOAR工具包括提供強(qiáng)大分析和自動(dòng)化功能的產(chǎn)品。這些程序減少了對(duì)傳統(tǒng)日志的依賴,并使用更多的實(shí)時(shí)數(shù)據(jù)收集來(lái)提供更快更自治的威脅響應(yīng)。
這些工具提供四種主要功能:大量使用數(shù)據(jù)收集和分析;與系統(tǒng)和管理軟件廣泛集成;對(duì)事件進(jìn)行自主、政策驅(qū)動(dòng)的響應(yīng);以及事件分類、警報(bào)和升級(jí)。
SOAR軟件可以加快事件檢測(cè)和響應(yīng)速度,但是智能方面仍然存在挑戰(zhàn)。SOAR通常依靠策略和工作流程來(lái)識(shí)別事件并精心安排適當(dāng)?shù)捻憫?yīng)。SOAR使用的策略和工作流程劇本從來(lái)都不是單一的工作。
正如SIEM管理員必須調(diào)試和調(diào)整平臺(tái)以發(fā)現(xiàn)事件一樣,SOAR管理員必須定期更新軟件以處理新的或未知的威脅。
SOAR功能與產(chǎn)品
當(dāng)前的SOAR工具包括DemistoEnterprise、LogicHub、Panaser、ResolveSystems、RespondSoftware等產(chǎn)品。此類工具通常與SIEM產(chǎn)品具有相似的功能,但是SOAR產(chǎn)品應(yīng)側(cè)重于自動(dòng)化和編排功能,這些功能比SIEM產(chǎn)品具有更大的自治權(quán)。
(1)自動(dòng)化和編排。SOAR的主要目的是減少完成安全任務(wù)所需的時(shí)間和精力。自動(dòng)化在這里起主要作用,自動(dòng)化有助于減輕耗時(shí)任務(wù)。
SOAR軟件可以響應(yīng)安全事件,并在票據(jù)跟蹤系統(tǒng)中自動(dòng)提交票據(jù),并調(diào)用工作流程中的任何后續(xù)步驟。由于此行為是自動(dòng)的,因此人類不需要安全警報(bào)即可打開(kāi)故障單并手動(dòng)解決問(wèn)題。
(2)協(xié)調(diào)的工作流程。對(duì)自動(dòng)化和編排的高度依賴導(dǎo)致對(duì)工作流程的高度依賴,以定義解決和糾正安全威脅的適當(dāng)步驟順序。工作流不僅涉及安全團(tuán)隊(duì),還可以涉及企業(yè)內(nèi)的多個(gè)團(tuán)隊(duì)。
(3)報(bào)告和事件管理。通過(guò)對(duì)從無(wú)數(shù)不同來(lái)源收集的所有數(shù)據(jù)進(jìn)行有效的整理和分類,SOAR工具可以節(jié)省時(shí)間和進(jìn)行編排。
例如,該軟件可以從多個(gè)集成系統(tǒng)中收集警報(bào)數(shù)據(jù),然后將其合并到公共位置,以進(jìn)行其他研究和調(diào)查。
SOAR產(chǎn)品還提供強(qiáng)大的事件管理功能,使管理員可以將數(shù)據(jù)和警報(bào)與相應(yīng)的票據(jù)關(guān)聯(lián)起來(lái),以支持詳細(xì)的調(diào)查。
(4)支持劇本。劇本是部署工作流程的一種方式–通過(guò)概述完成某項(xiàng)操作所需的全部步驟。劇本會(huì)總結(jié)單個(gè)操作,管理員可以鏈接多個(gè)劇本以完成復(fù)雜的動(dòng)作。IT團(tuán)隊(duì)還可以將劇本與問(wèn)題跟蹤系統(tǒng)綁定在一起,以實(shí)現(xiàn)針對(duì)特定工作流的特定劇本。劇本通常是共享的,并且隨著威脅的發(fā)展和擴(kuò)散而需要定期更新。
例如,當(dāng)警報(bào)進(jìn)入問(wèn)題跟蹤系統(tǒng),可能會(huì)觸發(fā)將網(wǎng)絡(luò)流量與某些日志中的可疑IP地址隔離、搜索安全情報(bào)摘要,并檢查目標(biāo)IP地址是否存在任何受感染的進(jìn)程或帳戶。
(5)支持集成。僅當(dāng)與所有基礎(chǔ)架構(gòu)中的其他系統(tǒng)全面集成時(shí),SOAR軟件才能達(dá)到有效水平的省時(shí)自動(dòng)化和編排。
集成通常通過(guò)連接器來(lái)處理,該連接器允許SOAR軟件互操作并自動(dòng)進(jìn)行信息收集和響應(yīng)。連接器可能是SOAR的最苛刻和最棘手的方面之一,因?yàn)楦鞣N防火墻、端點(diǎn)系統(tǒng)、應(yīng)用程序日志、路由器和SIEM工具都需要連接器。對(duì)集成系統(tǒng)的任何更改都可能需要管理員更新連接器。
