SOAR 与 SIEM有什么区别

安全编排、自动化和响应 (SOAR) 技术有助于在单一平台内协调、执行和自动化各种人员和工具之间的任务。这使得组织不仅能够快速响应网络安全攻击，而且能够观察、理解和预防未来的事件，从而改善其整体安全状况。根据 Gartner 的定义，全面的 SOAR 产品旨在在三个主要软件功能下运行：威胁和漏洞管理、安全事件响应和安全运营自动化。SOAR 摄取警报数据，然后这些警报会触发自动化/编排响应工作流程或任务的剧本。然后，通过结合人类和机器学习，组织能够分析这些不同的数据，以便理解并优先考虑针对任何未来威胁的自动事件响应操作，从而创建更高效​​、更有效的方法来处理网络安全和改进安全运营。SIEM 代表安全信息和事件管理，它是一组服务和工具，可帮助安全团队或安全运营中心 (SOC) 收集和分析安全数据以及创建策略和设计通知。SIEM 工具使用收集、整合和关联数据的方式来管理安全信息和事件。虽然 SOAR 和 SIEM 都用于检测安全问题和收集数据，但它们之间存在显着差异。SOAR 使用自动化、编排和人工智能等技术来增强安全性，实现自动化和预测能力。SIEM 仅向安全分析师发送警报，而 SOAR 则使用自动化和编排来提供更丰富的背景信息和自动响应。安全编排和自动化为组织提供了更好的安全背景信息、更深入的调查能力和协作改进。

什么是 SOAR？

安全编排、自动化和响应 (SOAR) 技术有助于在单一平台内协调、执行和自动化各种人员和工具之间的任务。这使得组织不仅能够快速响应网络安全攻击，而且能够观察、理解和预防未来的事件，从而改善其整体安全状况。
根据 Gartner 的定义，全面的 SOAR 产品旨在在三个主要软件功能下运行：威胁和漏洞管理、安全事件响应和安全运营自动化。
威胁和漏洞管理（编排）涵盖帮助修正网络威胁的技术，而安全运营自动化（自动化）涉及在运营中实现自动化和编排的技术。

SOAR 摄取警报数据，然后这些警报会触发自动化/编排响应工作流程或任务的剧本。然后，通过结合人类和机器学习，组织能够分析这些不同的数据，以便理解并优先考虑针对任何未来威胁的自动事件响应操作，从而创建更高效​​、更有效的方法来处理网络安全和改进安全运营。

什么是 SIEM？

SIEM 代表安全信息和事件管理。它是一组服务和工具，可帮助安全团队或安全运营中心 (SOC) 收集和分析安全数据以及创建策略和设计通知。SIEM 系统使用以下内容来管理安全信息和事件：数据收集、整合和关联，以及单个事件或事件排列触发 SIEM 规则时的通知。组织还设置符合其特定安全问题的规则、报告、警报和仪表板等策略。

SIEM 工具使 IT 团队能够：

• 使用事件日志管理来整合多个来源的数据
• 实时获得组织范围内的可见性
• 使用 if-then 规则关联从日志中收集的安全事件，以有效地向数据添加可操作的情报
• 使用可通过仪表板管理的自动事件通知

SIEM 将安全信息和安全事件的管理结合起来。这是通过实时监控和系统管理员的通知来完成的。

SOAR 与 SIEM

许多人将 SOAR 和 SIEM 定义为类似的产品，因为两者都检测安全问题并收集有关问题性质的数据。它们还处理安全人员可以用来解决问题的通知。然而，它们之间存在显着差异。

SOAR 使用类似于 SIEM 的集中式平台收集数据并向安全团队发出警报，但 SIEM 仅向安全分析师发送警报。然而，SOAR 安全性通过使用自动化剧本或工作流程以及人工智能 (AI) 来学习模式行为，增加了调查路径的自动化和响应，从而使其能够在类似威胁发生之前进行预测。由于 SOAR（例如 Cortex XSOAR）通常从 SIEM 不涵盖的来源获取警报（例如漏洞扫描结果、云安全警报和物联网设备警报），因此更容易删除重复警报，事实上，这是一个典型的用例 SOAR 和 SIEM 集成。这减少了手动处理警报所需的时间，使 IT 安全人员能够更轻松地检测和解决威胁。

什么是安全编排和自动化？

安全自动化是基于机器的安全操作执行，能够检测、调查和修复网络威胁，无需人工干预。它为 SOC 团队完成了大部分死记硬背的工作，因此他们不再需要筛选并手动处理收到的每个警报。安全自动化可以：

• 检测您环境中的威胁
• 对潜在威胁进行分类
• 确定是否对该事件采取行动
• 遏制并解决问题

所有这一切都可以在几秒钟内完成，无需人工参与。安全分析师不必按照步骤、说明和决策工作流程来调查事件并确定其是否为合法事件。重复、耗时的操作不再由他们掌控，这样他们就可以专注于更重要、更有价值的工作。

安全编排是一系列相互依赖的安全操作的基于机器的协调，包括事件调查、响应和最终解决，所有这些都在单个复杂的基础设施中进行。它可确保您的所有安全和非安全工具协同工作，无论是跨产品和工作流程自动执行任务，还是手动提醒代理需要更多关注的重要事件。

安全编排可以：

• 提供有关安全事件的更好背景信息。安全编排工具聚合来自不同来源的数据以提供更深入的洞察。因此，您可以全面了解整个环境
• 允许进行更深入、更有意义的调查。安全分析师可以停止管理警报并开始调查这些事件发生的原因。此外，安全编排工具通常提供高度交互和直观的仪表板、图表和时间表；这些视觉效果在调查过程中非常有用
• 改善协作。其他各方，包括不同层级的分析师、经理、首席技术官和首席高管、法律团队和人力资源部门，也可能需要参与某些类型的安全事件。安全编排可以让所有必要的数据触手可及，从而使协作、问题解决和解决更加有效

最终，安全编排提高了防御的集成度，使您的安全团队能够自动化复杂的流程，并最大限度地提高您从安全人员、流程和工具中获得的价值。