SIEM و SOAR دور از یکدیگر نیستند


اصطلاحات SIEM (اطلاعات سیستم و مدیریت رویدادها) و SOAR (ارکستراسیون امنیتی ، اتوماسیون و پاسخ) اغلب به جای هم استفاده می شوند. با این حال ، آنها کاربردهای کاملاً متفاوتی دارند و به دور از این که دو طرف جدا باشند ، می توانند – و اغلب باید – به طور همزمان استفاده شوند.

سیستم عامل های SIEM سال هاست که وجود داشته و ستون فقرات مراکز عملیات امنیتی (SOC) برای اکثر سازمان ها هستند. این ابزارها برای گرفتن اطلاعات ورود به سیستم و رویدادها از سیستم های مهم و تولید هشدارهای سیستم و داشبوردهای زمان واقعی هنگام تشخیص ناهنجاری ها ضروری هستند. برای اطمینان از اینکه فن آوری های SIEM نسبت به مهمترین (و دقیق ترین) خطرات هوشیار هستند ، تنظیم و نگهداری قابل توجهی لازم است.

SIEM اطلاعات كیفیت بالایی را در مورد تهدیدها و رویدادها ارائه می دهد ، بنابراین درك اقدامات محافظتی كه باید انجام شود را امكان پذیر می سازد. اما یک دفاع کاملاً مستحکم همچنین به توانایی پاسخ مستقل و سازگار نیاز دارد. SOAR را وارد کنید.

صنعت SOAR طی چند سال گذشته رشد چشمگیری داشته است ، بسیاری از مشاغل در جستجوی مزایای کاربردهای آن هستند. عنصر مهم قابلیت اتوماسیون است ، که کاربران را از انجام کارهای زمان بر و تکراری بی نیاز می کند و وقت متخصصان امنیت IT را برای مشاغل تخصصی تر آزاد می کند.

راه حل های SOAR به عنصری برای ادغام با همتایان SIEM خود احتیاج دارند تا اطمینان حاصل کنند که کاملترین تصویر را از نقض آشکار دارند. به عنوان مثال ، یک کاربر که می خواهد با یک رمز ورود اشتباه وارد یک برنامه شود ، به خودی خود نشانه نقض کاربر نیست. اما همان کاربری که رمز عبور یکسانی را در چندین برنامه پشت سر هم سریع امتحان می کند یا همه کاربرانی که سعی دارند با رمزهای عبور نادرست به همان برنامه دسترسی پیدا کنند ، ممکن است به چیز شرورانه تری اشاره کنند.

به همین ترتیب ، فعالیت هایی مانند دسترسی به سیستم خارج از ساعت و ورود به سیستم از مکان های غیرمنتظره باید پرچم های امنیتی را بالا ببرند.

به طور خلاصه ، سیستم های SIEM وقایع ورود به سیستم را تلفیق می کنند و از تجزیه و تحلیل الگو و برخی از یادگیری ماشین برای شناسایی وجود ناهنجاری هایی استفاده می کنند که باید با سو treated ظن درمان شوند. یافته ها در سیستم عامل SOAR برای پاسخ دفاعی وارد می شود.

در واقع ، SIEM اطلاعات را فراهم می کند و SOAR تصمیم می گیرد که با آن چه کاری انجام دهد. این ابزارها با هم نمایانگر اتوماسیون دو مرحله اصلی فرآیند امنیتی هستند – جمع آوری و تجزیه و تحلیل اطلاعات و اجرای پاسخ.

آیا SIEM و SOAR هر دو مورد نیاز هستند؟

سازمانهایی که دارای یک برنامه کاربردی محدود و دارایی شبکه هستند یا هدف اصلی گزارش دهی است ، احتمالاً SIEM به خودی خود کافی است.

اما در مواردی که نیاز به اجرای اقدامات خودکار بر اساس رویدادهای شناسایی شده وجود دارد ، یا در صورت نیاز به یک کتاب پاسخ مداوم که هر زمان لازم باشد ، باید همان روش را اجرا کند ، SOAR برای شرکت به طور فزاینده ای ضروری است. به عنوان مثال ، اگر یک ماشین ناگهان شروع به برقراری ارتباط با یک سرور در یک مکان ناخواسته (خارج از الگوهای معمول آن) کند ، SOAR می تواند بسته به ماهیت تهدید ، آن دستگاه را از سیستم های مهم جدا کند یا پورت های خاص را از طریق ارتباط غیرفعال کند.

اتوماسیون همچنین تیم SOC را قادر می سازد – که ممکن است خیلی زیاد نباشد – بر روی اصلاح حوادث واقعی متمرکز شوند ، یا تجزیه و تحلیل دقیق را انجام دهند که اگر مجبور بودند هر هشدار را کنترل کنند و اقدامات لازم را در سازمان انجام دهند ، ممکن است وقت نداشته باشند. سطح خدمات مورد نیاز

اگر ابزار SOAR به درستی پیاده سازی شود ، می تواند اطلاعات را از چندین سیستم عامل امنیتی و ابزار مورد استفاده توسط سازمان بگیرد و می تواند سیستم عامل های اطلاعات تهدید ، سیستم های SIEM و تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) را ادغام کند تا به طور خودکار شاخص های سازش (IoC) را شناسایی کند. در غیر این صورت ممکن است یک تحلیلگر SOC ساعت ها طول بکشد تا شناسایی کند.

این به سازمانها امکان می دهد قبل از اینکه بشر اتفاقاتی را تشخیص دهد ، پاسخ سو susp ظن یا سوicious رفتار را بدهند. سطح اتوماسیون در یک سیستم کاملاً یکپارچه نیز تعداد زیادی از موارد مثبت کاذب را از تجزیه و تحلیل و پاسخ ها حذف می کند ، و در وقت با ارزش تحلیلگر صرفه جویی می کند.

با وجود تمام مزایای اتوماسیون ، SIEM هنوز جایگاه خود را در یک سازمان دارد. همچنین ضبط داده های رویداد و گزارش مورد نیاز برای ورودی SOAR ، توانایی ابزارهای SIEM در پردازش بدون زحمت مقدار زیادی از داده ها به معنای استقرار آنها در سایر زمینه های تجاری است ، از جمله معیارهای بلیط میز خدمات و پیش بینی ، شاخص عملکرد کلیدی در زمان واقعی داشبورد (KPI) و انطباق بین پلتفرمی و گزارش خطر

به عنوان مثال ، شناسایی دلایل اصلی یا شاخص های مسائل بزرگتر با استفاده از تمام بلیط های ثبت شده در یک میز خدمات شلوغ ، تکمیل تنها در صورت تکیه بر نیروی انسانی می تواند دشوار باشد. اما یک سیستم قوی SIEM می تواند به سرعت روندها را انتخاب کند ، با دیگر منابع داده ارتباط برقرار کند و شواهد واضحی را ارائه دهد که نشان می دهد چیزی نیاز به توجه بیشتر دارد.

تصمیمات سرمایه گذاری

تصمیمات سرمایه گذاری نیز باید براساس سازمان گسترده تر و فرایندهای امنیتی موجود در آن باشد. به عنوان مثال ، م frameworkسسه ملی استاندارد و فناوری (NIST) چارچوب امنیت سایبری ، که به سرعت به عنوان استاندارد صنعت برای محک زدن تصویب می شود ، حفاظت از امنیت سایبری را به پنج عنصر تشکیل دهنده تقسیم می کند – شناسایی ، محافظت ، شناسایی ، واکنش ، بازیابی.

بر اساس تکرارهای فعلی ، SIEM برای اندازه گیری اثربخشی و کارایی حوزه های شناسایی و محافظت مناسب تر است ، در حالی که قابلیت های شناسایی و پاسخگویی توسط SOAR پوشش داده می شوند. انتخاب ابزار غالباً بر اساس نیازهای سازمان و قابلیت هایی است که می خواهد رشد کند.

فعالیتها و حجم کار SOC یکی دیگر از موارد مفید در هنگام تعیین یک سازمان برای پشتیبانی اضافی است. اگر بیشتر وقت صرف تحقیق یا پاسخ به هشدارهای گرفته شده توسط ابزار SIEM شود ، مطمئناً SOAR باید مورد توجه قرار گیرد.

اما اگر تیم در تلاش است تا رویدادهای معنی دار را به دست آورد ، داده های زیادی برای پردازش وجود دارد ، ابزارها تعداد زیادی از مثبت کاذب را تولید می کنند ، یا فرایندهای مدیریت حادثه هنوز مشخص نشده اند ، سپس SIEM و مجموعه ورود به سیستم و رویداد آن را افزایش می دهیم فرآیندهای مدیریت ممکن است سرمایه گذاری عاقلانه تری باشد.

مانند هر خرید امنیت فناوری اطلاعات ، موفقیت با تجزیه و تحلیل سازمان از محیط فعلی خود و درک تهدیدها و زمینه های خطر تعیین می شود. متخصصان امنیتی باید مزایا و معایب اتوماسیون را در مقایسه با پردازش دستی بسنجند و در مورد مقدار قرار داده شده در هر دو مرحله تصمیم بگیرند.

قدردانی از الزامات خاص مانع از صرف هزینه های مورد نیاز می شود. همچنین می توان سیستم های “بهترین تناسب” را به صورت جداگانه انتخاب کرد ، و در نتیجه یک راه حل پیشرفته در هر منطقه وجود دارد ، به جای یک مدل تامین کننده واحد که به طور بالقوه عملکرد را به خطر بیندازد.


منبع: tadrisriazi-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>