日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

現(xiàn)在IT安全軟件產(chǎn)品比任何時候都更加多樣化，安全信息和事件管理產(chǎn)品也面臨來自新的安全編排自動化與響應(yīng)產(chǎn)品的競爭。

成都創(chuàng)新互聯(lián)主營碧江網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā),碧江h(huán)5重慶小程序開發(fā)搭建,碧江網(wǎng)站營銷推廣歡迎碧江等地區(qū)企業(yè)咨詢

不過，隨著這兩種產(chǎn)品不斷發(fā)展，它們已經(jīng)變得越來越具有互補(bǔ)性，而不是競爭性。 SIEM提供廣泛的日志支持，但需要進(jìn)行精心的調(diào)試和手動修復(fù)。而SOAR則提供強(qiáng)大的自動化和自治能力，但要依靠連接器和劇本才能發(fā)揮作用。

這兩種產(chǎn)品都具有相似的功能，它們之間的互補(bǔ)性使得這兩種技術(shù)可以協(xié)同工作，并擴(kuò)展和改善改進(jìn)企業(yè)的安全狀況。當(dāng)管理員在評估SIEM與SOAR時，應(yīng)該考慮以下因素：

什么是SIEM?

可用的SIEM工具包括SolarWinds Security Event Manager、ManageEngine EventLog Analyzer、Splunk Enterprise Security、OSSEC、LogRhythm NextGen SIEM平臺和RSA NetWitness Suite。

這些工具都聲稱具有強(qiáng)大的特性和功能，IT團(tuán)隊可以考慮以下SIEM功能，以簡化評估過程。

(1) 日志關(guān)聯(lián)和分析。日志互操作性是關(guān)鍵組成部分。SIEM工具必須從各種各樣的數(shù)據(jù)源中提取大量日志文件，而日志文件沒有統(tǒng)一的標(biāo)準(zhǔn)。

有些日志提供非常詳細(xì)和細(xì)粒度的數(shù)據(jù)，而另一些日志則可能省略詳細(xì)信息;有些來源可能會以人類可讀的純文本格式生成日志文件，而其他工具可能會以需要解析器讀取的方式對數(shù)據(jù)進(jìn)行編碼。這里的重點是你選擇的SIEM工具應(yīng)該可在企業(yè)的特定IT網(wǎng)絡(luò)中提取和解釋日志。

但是，所提取的日志必須關(guān)聯(lián)。讀取多個日志的功能可幫助SIEM工具了解到，某個日志錯誤可能與網(wǎng)絡(luò)流量或錯誤消息相關(guān)。SIEM工具價值的基礎(chǔ)是解讀和關(guān)聯(lián)各種數(shù)據(jù)的功能。

第三個分析功能是威脅檢測，這是SIEM技術(shù)的關(guān)鍵限制。SIEM工具必須具有關(guān)聯(lián)的日志數(shù)據(jù)以識別潛在威脅。某些威脅檢測是基于日志錯誤和相關(guān)數(shù)據(jù)自動進(jìn)行，但管理員仍應(yīng)部署其他管理調(diào)試和威脅情報，以定義威脅行為或跳過“誤報”。

(2) 事件優(yōu)先排序、通知和警報。SIEM工具檢測威脅的能力至關(guān)重要，但重要的是，必須及時、有效地將這些威脅信息傳達(dá)給管理員。通常，在繁忙的IT環(huán)境中的SIEM系統(tǒng)每秒可能產(chǎn)生數(shù)百甚至數(shù)千個問題。

你應(yīng)該評估SIEM工具在檢測到問題并確定優(yōu)先級時如何發(fā)出通知。這些工具可以讓管理員為觸發(fā)的事件配置操作，并向安全團(tuán)隊成員發(fā)送實時警報。這里的目的是減少安全事件活躍的時間。減少響應(yīng)時間有利于關(guān)鍵性能指標(biāo)，例如應(yīng)用程序可用性、停機(jī)時間和用戶滿意度等級。

(3) 報告和用戶界面。SIEM工具可以提供一系列基本和自定義報告，以滿足特定的業(yè)務(wù)需求。例如，報告可以跟蹤指標(biāo)，例如平均修復(fù)時間，并表明安全團(tuán)隊如何發(fā)現(xiàn)和修復(fù)威脅。

請確保評估UI。很多SIEM工具都提供儀表板式的UI，管理員可以對其進(jìn)行配置，以顯示對企業(yè)特別有價值的數(shù)據(jù)點。管理員和IT經(jīng)理可能會忽略笨重、不靈活且難以使用的UI，因此請在選擇SIEM軟件時考慮UI的可讀性和可配置性。

(4) 工作流進(jìn)程。無數(shù)的問題和警報很容易導(dǎo)致修復(fù)措施不完善和失敗的結(jié)果?，F(xiàn)在越來越多的SIEM工具正在部署工作流進(jìn)程，以幫助管理員跟蹤事件進(jìn)度，從監(jiān)視和檢測到修復(fù)。

什么是SOAR?

SOAR工具包括提供強(qiáng)大分析和自動化功能的產(chǎn)品。這些程序減少了對傳統(tǒng)日志的依賴，并使用更多的實時數(shù)據(jù)收集來提供更快更自治的威脅響應(yīng)。

這些工具提供四種主要功能：大量使用數(shù)據(jù)收集和分析;與系統(tǒng)和管理軟件廣泛集成;對事件進(jìn)行自主、政策驅(qū)動的響應(yīng);以及事件分類、警報和升級。

SOAR軟件可以加快事件檢測和響應(yīng)速度，但是智能方面仍然存在挑戰(zhàn)。SOAR通常依靠策略和工作流程來識別事件并精心安排適當(dāng)?shù)捻憫?yīng)。SOAR使用的策略和工作流程劇本從來都不是單一的工作。

正如SIEM管理員必須調(diào)試和調(diào)整平臺以發(fā)現(xiàn)事件一樣，SOAR管理員必須定期更新軟件以處理新的或未知的威脅。

SOAR功能與產(chǎn)品

當(dāng)前的SOAR工具包括Demisto Enterprise、LogicHub、Panaser、Resolve Systems、Respond Software等產(chǎn)品。此類工具通常與SIEM產(chǎn)品具有相似的功能，但是SOAR產(chǎn)品應(yīng)側(cè)重于自動化和編排功能，這些功能比SIEM產(chǎn)品具有更大的自治權(quán)。

(1) 自動化和編排。SOAR的主要目的是減少完成安全任務(wù)所需的時間和精力。自動化在這里起主要作用，自動化有助于減輕耗時任務(wù)。

SOAR軟件可以響應(yīng)安全事件，并在票據(jù)跟蹤系統(tǒng)中自動提交票據(jù)，并調(diào)用工作流程中的任何后續(xù)步驟。由于此行為是自動的，因此人類不需要安全警報即可打開故障單并手動解決問題。

(2) 協(xié)調(diào)的工作流程。對自動化和編排的高度依賴導(dǎo)致對工作流程的高度依賴，以定義解決和糾正安全威脅的適當(dāng)步驟順序。工作流不僅涉及安全團(tuán)隊，還可以涉及企業(yè)內(nèi)的多個團(tuán)隊。

(3) 報告和事件管理。通過對從無數(shù)不同來源收集的所有數(shù)據(jù)進(jìn)行有效的整理和分類，SOAR工具可以節(jié)省時間和進(jìn)行編排。

例如，該軟件可以從多個集成系統(tǒng)中收集警報數(shù)據(jù)，然后將其合并到公共位置，以進(jìn)行其他研究和調(diào)查。

SOAR產(chǎn)品還提供強(qiáng)大的事件管理功能，使管理員可以將數(shù)據(jù)和警報與相應(yīng)的票據(jù)關(guān)聯(lián)起來，以支持詳細(xì)的調(diào)查。

(4) 支持劇本。劇本是部署工作流程的一種方式–通過概述完成某項操作所需的全部步驟。劇本會總結(jié)單個操作，管理員可以鏈接多個劇本以完成復(fù)雜的動作。IT團(tuán)隊還可以將劇本與問題跟蹤系統(tǒng)綁定在一起，以實現(xiàn)針對特定工作流的特定劇本。劇本通常是共享的，并且隨著威脅的發(fā)展和擴(kuò)散而需要定期更新。

例如，當(dāng)警報進(jìn)入問題跟蹤系統(tǒng)，可能會觸發(fā)將網(wǎng)絡(luò)流量與某些日志中的可疑IP地址隔離、搜索安全情報摘要，并檢查目標(biāo)IP地址是否存在任何受感染的進(jìn)程或帳戶。

(5) 支持集成。僅當(dāng)與所有基礎(chǔ)架構(gòu)中的其他系統(tǒng)全面集成時，SOAR軟件才能達(dá)到有效水平的省時自動化和編排。

集成通常通過連接器來處理，該連接器允許SOAR軟件互操作并自動進(jìn)行信息收集和響應(yīng)。連接器可能是SOAR的最苛刻和最棘手的方面之一，因為各種防火墻、端點系統(tǒng)、應(yīng)用程序日志、路由器和SIEM工具都需要連接器。對集成系統(tǒng)的任何更改都可能需要管理員更新連接器。

本文名稱：SIEM與SOAR：軟件評估的主要考慮因素
文章URL：http://www.5511xx.com/article/dpipcig.html