В прошлом посте мы рассказывали о том, что такое SIEM. Продолжаем тему средств защиты ИБ и познакомим еще с одним инструментом — SOAR. В чем разница между ними и какой выбрать в каждом конкретном случае?
Слово Дмитрию Наумову, техническому эксперту MONT.
Системы классов средств защиты информации SIEM и SOAR во многом похожи.
Функциональность SIEM на этом заканчивается.
SOAR идет дальше и реализует оркестрацию, автоматизацию и реагирование. СЗИ не только присылают свои события в одно большое хранилище с инструментами анализа, но и управляются они оттуда же, частично автоматизировано.
Из SOAR оператор может осуществлять «командование» другими СЗИ. Это позволяет повысить скорость и точность работы специалиста по ИБ и предоставить функции по быстрому траблшутингу систем безопасности.
Более того, SOAR также предоставляет оператору руководства для расследования инцидентов ИБ и реагирования на них. Это значительно ускоряет процесс работы и позволяет распределять задачи между сотрудниками соответственно их ролям.
Но широкая функциональность SOAR подразумевает более сложную интеграцию. Она занимает больше времени — систему нужно наполнять плейбуками и настраивать управляющие подключения от SOAR к СЗИ-источникам.
И SIEM и SOAR в любом случае потребуют донастройки — чтобы оптимизировать процесс работы, необходимо регулярно обновлять списки исключений. Но для SOAR нужно также дописывать новые плейбуки, если они не поставляются вендором — новые угрозы и способы эксплуатаций уязвимостей появляются каждый день.
Основной критерий выбора между SIEM и SOAR — необходимая скорость расследования. Если требуется удобное окружение для просмотра событий сразу со всех СЗИ и оперативного анализа активностей — имеет смысл выбрать SIEM. Если количество инцидентов ИБ растет, и появляется необходимость в формировании отдела мониторинга 24/7 — нужно брать SOAR.
#ИБ