IT安全软件产品比以往更加多样化,安全信息和事件管理产品面临来自新的安全编排自动化和响应产品的竞争。然而,随着这两种产品的发展,它们变得更加互补而不是竞争。SIEM提供广泛的日志记录支持,但需要仔细调试和手动修复。另一方面,SOAR提供强大的自动化和自主性,但依赖于连接器和剧本来发挥作用。这两种产品具有相似的功能,它们的互补性使这两种技术能够协同工作,以扩展和改善企业的安全态势。管理员在评估SIEM与SOAR时应考虑以下因素:什么是SIEM?可用的SIEM工具包括SolarWindsSecurityEventManager、ManageEngineEventLogAnalyzer、SplunkEnterpriseSecurity、OSSEC、LogRhythmNextGenSIEMPlatform和RSANetWitnessSuite。这些工具都声称具有强大的特性和功能,IT团队可以考虑以下SIEM功能来简化评估过程。(1)日志关联分析。日志互操作性是一个关键组件。SIEM工具必须从各种数据源中提取大量的日志文件,而且日志文件没有统一的标准。一些日志提供非常详细和细粒度的数据,而另一些日志可能会省略详细信息;一些来源可能会以人类可读的纯文本格式生成日志文件,而其他工具可能会以需要解析器读取它们的方式生成日志文件编码数据。这里的重点是您选择的SIEM工具应该能够提取和解释您特定IT网络中的日志。但是,提取的日志必须是相关的。读取多个日志的能力有助于SIEM工具了解日志错误可能与网络流量或错误消息有关。SIEM工具价值的基础是解释和关联各种数据的能力。第三个分析功能是威胁检测,这是SIEM技术的一个关键限制。SIEM工具必须具有关联的日志数据才能识别潜在威胁。一些威胁检测是基于日志错误和相关数据自动进行的,但管理员仍应部署额外的管理调试和威胁情报来定义威胁行为或跳过“误报”。(2)事件优先排序、通知和警报。SIEM工具检测威胁的能力至关重要,但及时有效地将此威胁信息传达给管理员也很重要。通常,繁忙IT环境中的SIEM系统每秒可生成数百甚至数千个问题。您应该评估SIEM工具在检测到问题并确定其优先级时如何通知您。这些工具允许管理员为触发的事件配置操作并向安全团队成员发送实时警报。此处的目的是减少安全事件处于活动状态的时间量。缩短响应时间有利于应用程序可用性、停机时间和用户满意度等关键性能指标。(3)报告和用户界面。SIEM工具可以提供一系列基本和自定义报告以满足特定的业务需求。例如,报告可以跟踪平均修复时间等指标,并显示安全团队如何发现和补救威胁。确保评估UI。许多SIEM工具提供仪表板式UI,管理员可以配置这些UI以显示对业务特别有价值的数据点。管理员和IT经理可能会忽视笨重、不灵活且难以使用的UI,因此在选择SIEM软件时要考虑UI的可读性和可配置性。(4)工作流过程。无数的问题和警报很容易导致修复不完善和失败。越来越多的SIEM工具现在正在部署工作流程,以帮助管理员跟踪事件的进展,从监控和检测到补救。什么是SOAR?SOAR工具包括提供强大分析和自动化功能的产品。这些程序减少了对传统日志的依赖,并使用更多的实时数据收集来提供更快、更自主的威胁响应。这些工具提供了四个主要功能:大量使用的数据收集和分析;与系统和管理软件的广泛集成;自主的、政策驱动的事件响应;事件分类、警报和升级。SOAR软件可以加快事件检测和响应速度,但情报挑战依然存在。SOAR通常依靠策略和工作流来识别事件并协调适当的响应。SOAR使用的策略和工作流剧本从来都不是一个单一的工作。正如SIEM管理员必须调整和调整平台以检测事件一样,SOAR管理员必须定期更新软件以处理新的或未知的威胁。SOAR功能及产品目前的SOAR工具包括DemistoEnterprise、LogicHub、Panaser、ResolveSystems、RespondSoftware等产品。此类工具通常具有与SIEM产品类似的功能,但SOAR产品应侧重于比SIEM产品具有更大自主权的自动化和编排功能。(1)自动化和编排。SOAR的主要目的是减少完成安全任务所需的时间和精力。自动化在这里起着主要作用,自动化有助于减轻耗时的任务。SOAR软件可以响应安全事件并在票证跟踪系统中自动提交票证并调用工作流中的任何后续步骤。由于此行为是自动的,因此无需安全警报即可打开工单并手动解决问题。(2)协调的工作流程。对自动化和编排的严重依赖导致高度依赖工作流来定义适当的步骤顺序来解决和纠正安全威胁。工作流不仅仅涉及安全团队,还可能涉及企业内的多个团队。(3)报告和事件管理。SOAR工具可以节省时间并协调对从无数不同来源收集的所有数据进行有效的整理和分类。例如,该软件可以从多个集成系统收集警报数据,然后将其合并到一个公共位置以进行额外的研究和调查。SOAR产品还提供强大的事件管理功能,允许管理员将数据和警报与相应的票证相关联,以支持详细调查。(4)支持脚本。剧本是部署工作流程的一种方式——通过概述完成某事所需的所有步骤。Playbook概括了一个动作,管理员可以链接多个playbook来完成复杂的动作。IT团队还可以将剧本与问题跟踪系统联系起来,为特定的工作流程实施特定的剧本。随着威胁的发展和扩散,行动手册经常被共享并需要定期更新。例如,当警报进入问题跟踪系统时,它可能会触发将网络流量隔离到某些日志中的可疑IP地址,搜索安全情报摘要,并检查目标IP地址以查找任何受感染的进程或帐户。(5)支持集成。只有在与所有基础设施中的其他系统完全集成时,SOAR软件才能实现有效水平的省时自动化和编排。集成通常通过允许SOAR软件互操作和自动化信息收集和响应的连接器来处理。连接器可能是SOAR中最苛刻和最棘手的方面之一,因为各种防火墙、端点系统、应用程序日志、路由器和SIEM工具都需要它们。对集成系统的任何更改都可能需要管理员更新连接器。
