今天看到兩個資訊安全的Term,感覺很逆害的樣子,一個叫做SIEM,而另一個則叫做SOAR,想說既然不懂就來查一查這兩個詞是在做啥的,遂把一點點心得記錄一下。
security information and event management (SIEM)
A SIEM solution examines log data for patterns that could indicate a cyberattack, then correlates(關聯) event information between devices to identify potentially anomalous(反常的) activity and finally, issues alerts accordingly(相應地).
Like SIEM, SOAR is designed to help security teams manage and respond to endless alarms at machine speeds.
SIEM,全名是security information and event management的縮寫,譯成中文就是安全資訊與事件管理,聽起來很抽象,所以我找了一下關於他的簡單描述如上寫。
看起來就是做一組程序,這組程序從做log 分析開始,然後找出可能隱藏的網路攻擊行為,並且接著把裝置機器的event資訊做關聯分析識別反常的網路行為,若確定網路行為異常,則發出適當的安全Alert。
所以SIEM就是藉由分析log資料以及所有裝置的event資訊來找出可疑的網路攻擊或行為並發出Alert的一個過程,但這個過程需要人力大量介入,因為SIEM的相關分析工具並不足以自動化所有分析異常網路行為的過程,且資料與事件資料相當大量,反而會影響資訊安全團隊人員花費大量心力在SIEM的解析工作上。
為此,SOAR就應蘊而生啦: SOAR is designed to help security teams manage and respond to endless alarms at machine speeds。 可以把SOAR想像成SIEM的自動化方案,目的是幫助資安團隊以機器量級的速度處理沒有盡頭的資安Alert。
讓我們來看看SOAR一個比較具體的說明:Security orchestration(協調), automation and response (SOAR) offers a solution. Eighty to ninety percent of most security operations’ tasks can be automated to some extent(範圍), and the data that disparate(不同的) tools create can be distilled(提取) into a single pane(方格) of information. The resulting efficiency gains allow security teams to handle vastly(廣大的) more tasks while significantly decreasing mean times to resolution (MTTR).
資安協調自動化與回應(SOAR),就是要把大部分的資訊安全分析作業自動化到一定範圍,然後把不同的資料提取成有用資訊,如此可以讓資安團隊有更多時間去著重在更重要的任務,因為SOAR幫資安團隊大大降低了MTTR時間(平均系統從故障到回復運作的時間)。
所以SIEM是一個人力為主的分析log與event資料之間的關聯性以產生適當資安Alert的過程,但因為現今世界資料量已經不再是靠人力就可以做分析的,所以需要SOAR幫助資安團隊針對每一個資安分析作業以機器處理速度自動化,提高資安團隊的生產效率,可以說SOAR就是SIEM的自動化強化版本。
2019年9月6日星期五
留言列表
