現(xiàn)在IT安全軟件產(chǎn)品比任何時(shí)候都更加多樣化，安全信息和事件管理產(chǎn)品也面臨來(lái)自新的安全編排自動(dòng)化與響應(yīng)產(chǎn)品的競(jìng)爭(zhēng)。

不過(guò)，隨著這兩種產(chǎn)品不斷發(fā)展，它們已經(jīng)變得越來(lái)越具有互補(bǔ)性，而不是競(jìng)爭(zhēng)性。 SIEM提供廣泛的日志支持，但需要進(jìn)行精心的調(diào)試和手動(dòng)修復(fù)。而SOAR則提供強(qiáng)大的自動(dòng)化和自治能力，但要依靠連接器和劇本才能發(fā)揮作用。

[[326385]]

這兩種產(chǎn)品都具有相似的功能，它們之間的互補(bǔ)性使得這兩種技術(shù)可以協(xié)同工作，并擴(kuò)展和改善改進(jìn)企業(yè)的安全狀況。當(dāng)管理員在評(píng)估SIEM與SOAR時(shí)，應(yīng)該考慮以下因素：

什么是SIEM?

可用的SIEM工具包括SolarWinds Security Event Manager、ManageEngine EventLog Analyzer、Splunk Enterprise Security、OSSEC、LogRhythm NextGen SIEM平臺(tái)和RSA NetWitness Suite。

這些工具都聲稱具有強(qiáng)大的特性和功能，IT團(tuán)隊(duì)可以考慮以下SIEM功能，以簡(jiǎn)化評(píng)估過(guò)程。

(1) 日志關(guān)聯(lián)和分析。日志互操作性是關(guān)鍵組成部分。SIEM工具必須從各種各樣的數(shù)據(jù)源中提取大量日志文件，而日志文件沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。

有些日志提供非常詳細(xì)和細(xì)粒度的數(shù)據(jù)，而另一些日志則可能省略詳細(xì)信息;有些來(lái)源可能會(huì)以人類可讀的純文本格式生成日志文件，而其他工具可能會(huì)以需要解析器讀取的方式對(duì)數(shù)據(jù)進(jìn)行編碼。這里的重點(diǎn)是你選擇的SIEM工具應(yīng)該可在企業(yè)的特定IT網(wǎng)絡(luò)中提取和解釋日志。

但是，所提取的日志必須關(guān)聯(lián)。讀取多個(gè)日志的功能可幫助SIEM工具了解到，某個(gè)日志錯(cuò)誤可能與網(wǎng)絡(luò)流量或錯(cuò)誤消息相關(guān)。SIEM工具價(jià)值的基礎(chǔ)是解讀和關(guān)聯(lián)各種數(shù)據(jù)的功能。

第三個(gè)分析功能是威脅檢測(cè)，這是SIEM技術(shù)的關(guān)鍵限制。SIEM工具必須具有關(guān)聯(lián)的日志數(shù)據(jù)以識(shí)別潛在威脅。某些威脅檢測(cè)是基于日志錯(cuò)誤和相關(guān)數(shù)據(jù)自動(dòng)進(jìn)行，但管理員仍應(yīng)部署其他管理調(diào)試和威脅情報(bào)，以定義威脅行為或跳過(guò)“誤報(bào)”。

(2) 事件優(yōu)先排序、通知和警報(bào)。SIEM工具檢測(cè)威脅的能力至關(guān)重要，但重要的是，必須及時(shí)、有效地將這些威脅信息傳達(dá)給管理員。通常，在繁忙的IT環(huán)境中的SIEM系統(tǒng)每秒可能產(chǎn)生數(shù)百甚至數(shù)千個(gè)問(wèn)題。

你應(yīng)該評(píng)估SIEM工具在檢測(cè)到問(wèn)題并確定優(yōu)先級(jí)時(shí)如何發(fā)出通知。這些工具可以讓管理員為觸發(fā)的事件配置操作，并向安全團(tuán)隊(duì)成員發(fā)送實(shí)時(shí)警報(bào)。這里的目的是減少安全事件活躍的時(shí)間。減少響應(yīng)時(shí)間有利于關(guān)鍵性能指標(biāo)，例如應(yīng)用程序可用性、停機(jī)時(shí)間和用戶滿意度等級(jí)。

(3) 報(bào)告和用戶界面。SIEM工具可以提供一系列基本和自定義報(bào)告，以滿足特定的業(yè)務(wù)需求。例如，報(bào)告可以跟蹤指標(biāo)，例如平均修復(fù)時(shí)間，并表明安全團(tuán)隊(duì)如何發(fā)現(xiàn)和修復(fù)威脅。

請(qǐng)確保評(píng)估UI。很多SIEM工具都提供儀表板式的UI，管理員可以對(duì)其進(jìn)行配置，以顯示對(duì)企業(yè)特別有價(jià)值的數(shù)據(jù)點(diǎn)。管理員和IT經(jīng)理可能會(huì)忽略笨重、不靈活且難以使用的UI，因此請(qǐng)?jiān)谶x擇SIEM軟件時(shí)考慮UI的可讀性和可配置性。

(4) 工作流進(jìn)程。無(wú)數(shù)的問(wèn)題和警報(bào)很容易導(dǎo)致修復(fù)措施不完善和失敗的結(jié)果?，F(xiàn)在越來(lái)越多的SIEM工具正在部署工作流進(jìn)程，以幫助管理員跟蹤事件進(jìn)度，從監(jiān)視和檢測(cè)到修復(fù)。

什么是SOAR?

SOAR工具包括提供強(qiáng)大分析和自動(dòng)化功能的產(chǎn)品。這些程序減少了對(duì)傳統(tǒng)日志的依賴，并使用更多的實(shí)時(shí)數(shù)據(jù)收集來(lái)提供更快更自治的威脅響應(yīng)。

這些工具提供四種主要功能：大量使用數(shù)據(jù)收集和分析;與系統(tǒng)和管理軟件廣泛集成;對(duì)事件進(jìn)行自主、政策驅(qū)動(dòng)的響應(yīng);以及事件分類、警報(bào)和升級(jí)。

SOAR軟件可以加快事件檢測(cè)和響應(yīng)速度，但是智能方面仍然存在挑戰(zhàn)。SOAR通常依靠策略和工作流程來(lái)識(shí)別事件并精心安排適當(dāng)?shù)捻憫?yīng)。SOAR使用的策略和工作流程劇本從來(lái)都不是單一的工作。

正如SIEM管理員必須調(diào)試和調(diào)整平臺(tái)以發(fā)現(xiàn)事件一樣，SOAR管理員必須定期更新軟件以處理新的或未知的威脅。

SOAR功能與產(chǎn)品

當(dāng)前的SOAR工具包括Demisto Enterprise、LogicHub、Panaser、Resolve Systems、Respond Software等產(chǎn)品。此類工具通常與SIEM產(chǎn)品具有相似的功能，但是SOAR產(chǎn)品應(yīng)側(cè)重于自動(dòng)化和編排功能，這些功能比SIEM產(chǎn)品具有更大的自治權(quán)。

(1) 自動(dòng)化和編排。SOAR的主要目的是減少完成安全任務(wù)所需的時(shí)間和精力。自動(dòng)化在這里起主要作用，自動(dòng)化有助于減輕耗時(shí)任務(wù)。

SOAR軟件可以響應(yīng)安全事件，并在票據(jù)跟蹤系統(tǒng)中自動(dòng)提交票據(jù)，并調(diào)用工作流程中的任何后續(xù)步驟。由于此行為是自動(dòng)的，因此人類不需要安全警報(bào)即可打開(kāi)故障單并手動(dòng)解決問(wèn)題。

(2) 協(xié)調(diào)的工作流程。對(duì)自動(dòng)化和編排的高度依賴導(dǎo)致對(duì)工作流程的高度依賴，以定義解決和糾正安全威脅的適當(dāng)步驟順序。工作流不僅涉及安全團(tuán)隊(duì)，還可以涉及企業(yè)內(nèi)的多個(gè)團(tuán)隊(duì)。

(3) 報(bào)告和事件管理。通過(guò)對(duì)從無(wú)數(shù)不同來(lái)源收集的所有數(shù)據(jù)進(jìn)行有效的整理和分類，SOAR工具可以節(jié)省時(shí)間和進(jìn)行編排。

例如，該軟件可以從多個(gè)集成系統(tǒng)中收集警報(bào)數(shù)據(jù)，然后將其合并到公共位置，以進(jìn)行其他研究和調(diào)查。

SOAR產(chǎn)品還提供強(qiáng)大的事件管理功能，使管理員可以將數(shù)據(jù)和警報(bào)與相應(yīng)的票據(jù)關(guān)聯(lián)起來(lái)，以支持詳細(xì)的調(diào)查。

(4) 支持劇本。劇本是部署工作流程的一種方式–通過(guò)概述完成某項(xiàng)操作所需的全部步驟。劇本會(huì)總結(jié)單個(gè)操作，管理員可以鏈接多個(gè)劇本以完成復(fù)雜的動(dòng)作。IT團(tuán)隊(duì)還可以將劇本與問(wèn)題跟蹤系統(tǒng)綁定在一起，以實(shí)現(xiàn)針對(duì)特定工作流的特定劇本。劇本通常是共享的，并且隨著威脅的發(fā)展和擴(kuò)散而需要定期更新。

例如，當(dāng)警報(bào)進(jìn)入問(wèn)題跟蹤系統(tǒng)，可能會(huì)觸發(fā)將網(wǎng)絡(luò)流量與某些日志中的可疑IP地址隔離、搜索安全情報(bào)摘要，并檢查目標(biāo)IP地址是否存在任何受感染的進(jìn)程或帳戶。

(5) 支持集成。僅當(dāng)與所有基礎(chǔ)架構(gòu)中的其他系統(tǒng)全面集成時(shí)，SOAR軟件才能達(dá)到有效水平的省時(shí)自動(dòng)化和編排。

集成通常通過(guò)連接器來(lái)處理，該連接器允許SOAR軟件互操作并自動(dòng)進(jìn)行信息收集和響應(yīng)。連接器可能是SOAR的最苛刻和最棘手的方面之一，因?yàn)楦鞣N防火墻、端點(diǎn)系統(tǒng)、應(yīng)用程序日志、路由器和SIEM工具都需要連接器。對(duì)集成系統(tǒng)的任何更改都可能需要管理員更新連接器。