SOAR vs. 安全性資訊與事件管理：主要差異

什麼是安全性資訊與事件管理？

安全性資訊與事件管理工具透過持續收集、分析及關聯組織 IT 環境中各種來源的日誌資料來運作。透過集中這些資訊，安全性資訊與事件管理解決方案可即時偵測可疑活動，並在潛在威脅出現時發出警示。

這些工具使用預先定義的規則、機器學習和人工智慧驅動的分析來識別可能顯示的模式：

• Cyberattacks
• 內部威脅
• 違反政策

此外，安全性資訊與事件管理解決方案可透過自動化工作流程強化事件回應。

安全性資訊與事件管理與 SOAR 的 4 個差異

為了闡明兩者之間的差異，請考慮將安全性資訊與事件管理和 SOAR 分成以下兩部分：

#1：資料來源

安全性資訊與事件管理著重於收集、關聯與分析日誌檔案，這些檔案是由個別網路裝置、端點、與應用程式所產生。

為了達成這個目標，安全性資訊與事件管理會收集並處理大量原始、非結構化的日誌資料。

SOAR利用其他安全軟體已識別的事件，並與組織安全堆疊其他區域的資料點進行比較。它可同時處理結構化資料 (例如安全警示、威脅情資和播放程式執行結果)，以及非結構化資料 (例如應用程式和使用者行為)。

#2: 事件偵測

安全性資訊與事件管理使用預先定義的規則產生警示。關聯規則也稱為事實規則，是當已定義的事件發生時，觸發特定動作的邏輯條件。例如，「如果電腦有病毒，請提醒使用者」。 這些規則獨立運作，不評估事件歷史，這意味著它們只會對當前條件做出回應。

每次執行規則時，它只評估指定的資料集，而不考慮過去發生的事件。每條規則都需要手動設定，並隨時間精進，因此 SIEM 對資源的需求相當龐大。

SOAR可根據各種非結構化資料偵測安全事件。例如，加入歷史行為資料可提高安全警示的準確性。這可將先前的網路和裝置行為導入 SOAR。

任何偏差都可以即時在防火牆和裝置活動之間進行比較，增加警報的真實性。

#3：事件回應流程

安全性資訊與事件管理自動化資料收集、規範化與關聯。因此，事件回應的空間非常有限。人工分析師是安全性資訊與事件管理流程中不可或缺的一環，因為這是調查與回應事件的方式。

例如，如果使用者按一下惡意下載連結，分析師就會看到警示並作出適當的回應。

SOAR透過播放簿提供廣泛的自動化功能。Playbooks 是 SOAR 平台能夠根據特定事件採取預先定義的動作和工作流程的方式。

例如，當可疑的電子郵件被報告或標記時，播放簿：

• 擷取寄件者詳細資料和連結等關鍵指標
• 與威脅情資來源相互參照

如果識別為網路釣魚，它會自動隔離電子郵件、封鎖寄件者，並從受影響的收件匣中移除類似的郵件。

#4: 整合

安全性資訊與事件管理會從日誌檔中擷取所有資料；這些資料可以直接傳送至安全性資訊與事件管理，以及日誌檔的產生時間和系統。

Syslog 是透過企業網路傳送所有這些記錄資料的通用通訊協定。

因為SOAR允許與多種安全工具整合。這可透過感應器來實現，感應器是位於網路、伺服器或資料庫上的被動式資料收集器，可將所有相關資料傳送至 SOAR。