什么是 SOAR?
安全编排、自动化和响应 (SOAR) 技术有助于在单一平台内协调、执行和自动化各种人员和工具之间的任务。这使得组织不仅能够快速响应网络安全攻击,而且能够观察、理解和预防未来的事件,从而改善其整体安全状况。 根据 Gartner 的定义,全面的 SOAR 产品旨在在三个主要软件功能下运行:威胁和漏洞管理、安全事件响应和安全运营自动化。 威胁和漏洞管理(编排)涵盖帮助修正网络威胁的技术,而安全运营自动化(自动化)涉及在运营中实现自动化和编排的技术。 SOAR 摄取警报数据,然后这些警报会触发自动化/编排响应工作流程或任务的剧本。然后,通过结合人类和机器学习,组织能够分析这些不同的数据,以便理解并优先考虑针对任何未来威胁的自动事件响应操作,从而创建更高效、更有效的方法来处理网络安全和改进安全运营。
什么是 SIEM?
SIEM 代表安全信息和事件管理。它是一组服务和工具,可帮助安全团队或安全运营中心 (SOC) 收集和分析安全数据以及创建策略和设计通知。SIEM 系统使用以下内容来管理安全信息和事件:数据收集、整合和关联,以及单个事件或事件排列触发 SIEM 规则时的通知。组织还设置符合其特定安全问题的规则、报告、警报和仪表板等策略。 SIEM 工具使 IT 团队能够:
- 使用事件日志管理来整合多个来源的数据
- 实时获得组织范围内的可见性
- 使用 if-then 规则关联从日志中收集的安全事件,以有效地向数据添加可操作的情报
- 使用可通过仪表板管理的自动事件通知
SIEM 将安全信息和安全事件的管理结合起来。这是通过实时监控和系统管理员的通知来完成的。
SOAR 与 SIEM
许多人将 SOAR 和 SIEM 定义为类似的产品,因为两者都检测安全问题并收集有关问题性质的数据。它们还处理安全人员可以用来解决问题的通知。然而,它们之间存在显着差异。 SOAR 使用类似于 SIEM 的集中式平台收集数据并向安全团队发出警报,但 SIEM 仅向安全分析师发送警报。然而,SOAR 安全性通过使用自动化剧本或工作流程以及人工智能 (AI) 来学习模式行为,增加了调查路径的自动化和响应,从而使其能够在类似威胁发生之前进行预测。由于 SOAR(例如 Cortex XSOAR)通常从 SIEM 不涵盖的来源获取警报(例如漏洞扫描结果、云安全警报和物联网设备警报),因此更容易删除重复警报,事实上,这是一个典型的用例 SOAR 和 SIEM 集成。这减少了手动处理警报所需的时间,使 IT 安全人员能够更轻松地检测和解决威胁。
什么是安全编排和自动化?
安全自动化是基于机器的安全操作执行,能够检测、调查和修复网络威胁,无需人工干预。它为 SOC 团队完成了大部分死记硬背的工作,因此他们不再需要筛选并手动处理收到的每个警报。安全自动化可以:
- 检测您环境中的威胁
- 对潜在威胁进行分类
- 确定是否对该事件采取行动
- 遏制并解决问题
所有这一切都可以在几秒钟内完成,无需人工参与。安全分析师不必按照步骤、说明和决策工作流程来调查事件并确定其是否为合法事件。重复、耗时的操作不再由他们掌控,这样他们就可以专注于更重要、更有价值的工作。 安全编排是一系列相互依赖的安全操作的基于机器的协调,包括事件调查、响应和最终解决,所有这些都在单个复杂的基础设施中进行。它可确保您的所有安全和非安全工具协同工作,无论是跨产品和工作流程自动执行任务,还是手动提醒代理需要更多关注的重要事件。 安全编排可以:
- 提供有关安全事件的更好背景信息。安全编排工具聚合来自不同来源的数据以提供更深入的洞察。因此,您可以全面了解整个环境
- 允许进行更深入、更有意义的调查。安全分析师可以停止管理警报并开始调查这些事件发生的原因。此外,安全编排工具通常提供高度交互和直观的仪表板、图表和时间表;这些视觉效果在调查过程中非常有用
- 改善协作。其他各方,包括不同层级的分析师、经理、首席技术官和首席高管、法律团队和人力资源部门,也可能需要参与某些类型的安全事件。安全编排可以让所有必要的数据触手可及,从而使协作、问题解决和解决更加有效
最终,安全编排提高了防御的集成度,使您的安全团队能够自动化复杂的流程,并最大限度地提高您从安全人员、流程和工具中获得的价值。