什么是SOAR

SOAR(Security Orchestration, Automation, and Response,安全编排、自动化和响应) 

SOAR是一系列技术的合集,它能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业能够对事件分析与响应流程进行形式化的描述。SOAR是一个将企业众多的安全运营工具集成在一起的平台,采用事件响应预案让众多安全运营工具自动化执行

SIEM和SOAR有什么相同和不同

与新一代SIEM相同的是,SOAR旨在解决传统SIEM所产生告警爆炸以及企业缺乏网络安全专业技能人才的挑战,从而帮助企业有效地部署SIEM。SOAR可以根据事先的预案(Playbook)进行编排和自动化,能够有效地简化安全运营人员的手工作业,消除了MTTR或MTTD循环中的人为错误,减少了单调繁重的威胁分析过程。

与新一代SIEM不同的是,SOAR是一个将企业众多的安全运营工具集成在一起的平台,采用事件响应预案让众多安全运营工具自动化执行,当然也可以通过安全运营人员的单击操作来执行。此外,SOAR还为案例管理提供了一个的专用问题跟踪系统(Issue Tracking System,ITS)以用于编纂安全事件分析和响应的工作流程。 

对比新一代SIEM和SOAR的最佳方法是将SIEM和SOAR分别视作记录系统行动系统。这样比较并没有消除对SIEM的需求,而新一代SIEM与SOAR结合时,SIEM在减少MTTD和MTTR方面更有效,解决了安全运营人员短缺的挑战,并降低了SOC中常见的告警爆炸问题。

原文地址:http://www.cnblogs.com/fczlm/p/16904130.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性