SOAR SIEM

SIEM czy SOAR?

Tomasz Jurkowski
Placeholder for Tomasz JurkowskiTomasz Jurkowski

Tomasz Jurkowski , Security Engineer , Nomios Poland

Do przeczytania w 3 min.
Placeholder for Roundabout road carsRoundabout road cars

Share

Czym jest SOAR?

W dzisiejszym artykule postaramy się przybliżyć nieco technologię zwaną SOAR. Odpowiemy zatem na pytania: co oznacza skrót SOAR, jakie są jego główne zadania i czy jest w stanie zastąpić nasz system SIEM.

Kiedy w 2015 roku, po raz pierwszy SOAR pojawił się na scenie cyberbezpieczeństwa, został nazwany przez Gartnera przełomową, rewolucyjną technologią tej branży. Od tego czasu technologia się znacznie rozwinęła. Obecnie SOAR odgrywa kluczową rolę niemal w każdym nowoczesnym SOC (z ang. Security Operations Center), a wiele organizacji chce dowiedzieć się więcej o potencjale, jaki ta technologia ma do zaoferowania.

SOAR (z ang. Security Orchestration, Automation and Response), jest stosunkowo nową platformą bezpieczeństwa, która wykorzystując scentralizowane zarządzanie różnymi narzędziami z dziedziny cyberbezpieczeństwa, pozwala na automatyzację pewnych działań, w celu analizy i eliminacji zagrożeń.

SIEM czy SOAR?

Ale co, jeśli mamy już wdrożony system SIEM w mojej organizacji, to znaczy że SOAR nie jest dla mnie? Otóż, nie. W uproszczeniu, system SIEM (z ang. Security Information and Event Management) z założenia służy do zbierania logów i detekcji incydentów bezpieczeństwa. Dzięki korelacji zdarzeń, jest on w stanie wychwycić podejrzane zachowanie użytkowników czy próbę ataku na naszą infrastrukturę. Jest to system, którym musimy zarządzać w sposób ciągły. Administratorzy muszą co jakiś czas dostosowywać konfigurację systemu do ciągle rozwijanego środowiska IT lub coraz to nowszych typów ataków. Mimo takich funkcjonalności jak agregacja zdarzeń, często dzienna ilość logów z urządzeń może sięgać kilkuset tysięcy lub więcej. Taka liczba zdarzeń na pewno potrafi wygenerować sporą liczbę incydentów, z których następnie analitycy przeprowadzają żmudną analizę. Muszą sprawdzić czy przypadek, którym się zajmują stanowi realne zagrożenie lub być może jest to tylko tzw. false positive. Tutaj właśnie przychodzi z pomocą technologia SOAR. Nie dość, że SOAR potrafi zautomatyzować większość analityki incydentów z systemu SIEM, to dodatkowo mamy możliwości przeciwdziałania skutkom zagrożeń w naszej organizacji.

Dzięki automatyzacji zadań, powtarzalne i ręczne zadania analityczne, które zazwyczaj zajmują od 30 minut do nawet kilku godzin, możemy tak zaprogramować, że ich wyniki otrzymamy w ciągu minuty lub dwóch. Natomiast duża ilość integracji platformy SOAR z innymi systemami bezpieczeństwa w naszej infrastrukturze, pozwala na wykonanie zdalnie rozmaitych operacji bez konieczności logowania się do tych systemów.

W sytuacji wykrycia zagrożenia, odpowiednie integracje z innymi systemami, pomogą nam wzbogacić naszą analizę o dane z innych systemów jak firewall, antywirus, informacje z lokalnych stacji użytkowników czy zewnętrznych źródeł reputacji. Następnie w ciągu kilku sekund możemy np. odciąć komputer od sieci, wymusić skanowanie systemu, czy wylogować użytkownika z zainfekowanej stacji i na koniec zmienić mu hasło na serwerze Active Directory. Warto dodać, że poziom automatyzacji jest regulowany, a analitycy decydują, które zadania chcą w pełni zautomatyzować, a które wymagają aktywności operatora – zadnia półautomatyczne

Swimlane SOAR

Możliwości jest sporo, a warto dodać, że niektórzy producenci jak na przykład Swimlane, oferują ponad 300 natywnych integracji z różnymi produktami, a niewspierane integracje z systemami klienta są tworzone bez dodatkowych kosztów.

Swimlane ponadto oferuje wysoce konfigurowalne pulpity nawigacyjne, które zapewniają przegląd działania SecOps. Pulpit nawigacyjny umożliwia łatwe dostosowywanie go tak, aby zawierał wszystkie niezbędne dane związane z procesami przepływu pracy, funkcjami pracy, ramami czasowymi i charakterystyką działań. Dodatkowo system umożliwia śledzenie najważniejszych wskaźników KPI dla strategii operacji bezpieczeństwa oraz generowanie wysoce konfigurowalnych raportów.

Placeholder for SIEM czy SOARSIEM czy SOAR

Współpraca między SIEM i SOAR

Wiele organizacji polega zarówno na SOAR, jak i SIEM, aby zapewnić obronę bezpieczeństwa cybernetycznego. Dzieje się tak, ponieważ SIEM i SOAR nie są ze sobą sprzeczne, ale uzupełniają swoje mocne strony i faktycznie się ulepszają, współpracując ze sobą. Mimo, że system SIEM nie jest niezbędny dla systemu SOAR, to często to właśnie ten tandem znajdujemy jako główne narzędzia do walki z zagrożeniami cyberbezpieczeństwa w dojrzałych organizacjach. SIEM sprawdza się świetnie w roli pierwszej linii na froncie - filtrowania i detekcji incydentów. SOAR natomiast, stanowi kolejny etap, w którym przenosi na wyższy poziom zarządzanie tymi incydentami, analizę zdarzeń oraz odpowiednią remediację w przypadku realnych zagrożeń. Co więcej, dzięki dwukierunkowej integracji z systemem SIEM, SOAR jest w stanie wysłać wyniki swojej analizy do systemu SIEM. Wówczas reguły korelacyjne czy alarmy w nim utworzone, automatycznie są aktualizowane o najnowsze wskaźniki kompromitacji (z ang. Indicator of Compromise), przez co detekcja systemu SIEM staje się jeszcze bardziej dokładna.

Podsumowując. Nie odpowiemy na pytanie, co wybrać. SIEM i SOAR uzupełniają się wzajemnie. Najlepiej posiadać jedno i drugie rozwiązanie.

Chcesz dowiedzieć się więcej na temat rozwiązania SOAR? Już 9 listopada 2023 roku odbędzie się webinar poświęcony rozwiązaniu FortiSOAR - dołącz do nas!

Skontaktuj się z nami

Chcesz dowiedzieć się więcej na ten temat?

Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.

Zadzwoń teraz
Placeholder for Portrait of french manPortrait of french man
Updates

Więcej aktualizacji