[ad_1]

راه حل های اطلاعات امنیتی و مدیریت رویداد (SIEM) مدتی است که با ما درگیر هستند و به دلیل نیاز به ادغام گزارش ها در قالب های مختلف از سراسر شبکه ، از جمله تغذیه رویدادهای امنیتی از تجهیزات دیگر مانند سیستم های تشخیص نفوذ (IDS) ، دیوارهای آتش ، رشد می کنند. و نرم افزار نقطه پایانی کاربر.

SIEM همچنین ابزاری برای جستجوی دستی و تجزیه و تحلیل داده ها ، به طور معمول با استفاده از تجزیه و تحلیل داده ها برای تولید هشدارها ، ارائه دیدگاه های مختلف داده ها به تحلیلگر و ارائه گزارش به سهامداران ارائه می دهد.

علاوه بر این ، به طور معمول این توانایی را فراهم می کند که موارد استفاده برای شناسایی ، که دنباله های خاصی از رویدادها را نشان می دهد که ممکن است نشان دهنده حمله مداوم باشد و می تواند برخی از ادغام در بلیط و سایر سیستم های مرتبط را ایجاد کند.

امروز ، با این وجود ، سیستم ها می توانند هزاران رویداد در ثانیه ایجاد کنند و مهاجمان پیچیده تر می شوند. برخی از گروه های پیشرفته تهدید مداوم (APT) اکنون می توانند کنترل یک ایستگاه کاری را کنترل کرده و در مدت زمان کمتر از 20 دقیقه از کاربر با کلیک بر روی پیوند در یک ایمیل فیشینگ ، به شبکه نفوذ کنند و میانگین برای همه گروه ها کمتر است بیش از دو ساعت

این امر منجر به مفهوم چالش 1/10/60 شده است: نیاز به تشخیص حمله در عرض یک دقیقه ، درک آن در 10 دقیقه و مهار آن در 60 دقیقه. این امکان برای بهترین تحلیل گرانی که فقط از SIEM استفاده می کنند وجود ندارد.

راه حل های ارکستراسیون امنیتی ، اتوماسیون و پاسخگویی (SOAR) برای سرعت بخشیدن به پاسخ به حمله با خودکار کردن فرآیند تشخیص و پاسخ حادثه است. آنها با SIEM ، سیستم فروش بلیط ، فن آوری های شناسایی ، فایروال ها و پروکسی ها و همچنین با سیستم عامل های اطلاعات تهدید ادغام می شوند تا بتوانند فعالیت کلی شناسایی و پاسخ را به طور خودکار انجام دهند.

تیم های عملیات امنیتی دارای یک کتاب بازی خواهند بود که جزئیات تصمیمات و اقداماتی را که باید از شناسایی تا مهار انجام شود ، ارائه می دهد. این ممکن است اقدامات مربوط به کشف یک واقعه مشکوک را از طریق تشدید و پاسخهای احتمالی نشان دهد. SOAR می تواند با اتخاذ تصمیماتی مستقل که تحقیقات را پشتیبانی می کند ، با استفاده از اطلاعات تهدید و ارائه نتایج به تحلیلگر با توصیه هایی برای اقدامات بعدی ، این امر را خودکار کند.

سپس تحلیلگر می تواند اقدام مناسب را انتخاب کند ، که به صورت خودکار انجام می شود یا کل فرآیند می تواند خودکار باشد. به عنوان مثال ، تشخیص یک امکان انتقال فرمان و کنترل می تواند مطابق با کتاب بازی برای جمع آوری اطلاعات مربوط به تهدید و اطلاعات مربوط به میزبان ها و سایر انتقال های مرتبط پیگیری شود.

سپس به تحلیلگر اطلاع داده می شود و به وی امکان جلوگیری از انتقال و جداسازی میزبانان درگیر داده می شود. پس از انتخاب ، اقدامات به طور خودکار انجام می شوند. از طریق این فرآیند ، ابزارهای فروش بلیط و تیم می توانند تیم و ذینفعان مربوطه را مطلع و گزارشات را در صورت لزوم تولید کنند.

ارائه دهندگان SIEM شروع به اضافه کردن برخی از این توابع کرده اند و تیم های عملیاتی از قابلیت های داخلی SIEM یا رابط های برنامه نویسی برنامه SIEM (API) برای اتوماسیون فرآیندها استفاده می کنند ، که می تواند به عنوان هم پوشانی بین SIEM و SOAR دیده شود.

با این حال ، یک راه حل SOAR بالاتر از SIEM قرار دارد و یکپارچه سازی بهتری با سیستم عامل های اطلاعات تهدید و ابزارهای پیشرفته تری را ارائه می دهد که خروجی های پیچیده تری از یک جریان ساده از سیاهههای مربوط را فراهم می کند. به طور معمول ، یک راه حل SOAR همچنین مدیریت پرونده ، تجزیه و تحلیل و گزارش دهی را فراهم می کند و از ارتباطات و همکاری پشتیبانی می کند.

اگرچه یک راه حل SOAR می تواند به دستیابی به هدف 1/10/60 و صرفه جویی در وقت تحلیل گر محدود کمک کند ، اما آنها به پیکربندی قابل توجهی نیاز دارند. پیکربندی های پیش فرض ممکن است یک شروع باشد ، اما playbook و گردش کار تعریف شده باید برای خودکار سازی آنها در یک راه حل SOAR تنظیم شود زیرا این موارد برای شما ایجاد نمی شود.

همچنین برای پاسخگویی ، راه حل SOAR باید نحوه تنظیم مجدد فایروال ها ، سرورهای DNS و پروکسی ها و همچنین جدا کردن میزبان ها در محیط خاص شما را بداند. در دراز مدت ، SOAR امکان انجام کارهای سریعتر با ورودی تحلیلگر کمتر را فراهم می کند.

اگرچه SIEM و SOAR متفاوت هستند ، اما هر دو لازم هستند و لازم است با هم کار کنند. ویژگی های SOAR توسط ارائه دهندگان SIEM ادامه خواهد یافت ، در حالی که گارتنر تخمین می زند تا پایان سال 2020 ، فقط 15٪ از سازمان های امنیتی با پنج یا بیشتر متخصص امنیت SOAR را انتخاب کنند. با این وجود بعید به نظر می رسد که راه حلهای مستقل SIEM به زودی از بین بروند.

[ad_2]

منبع: tadrisriazi-news.ir