Bei der Betrachtung von SOAR und SIEM ist es wichtig, die Unterschiede und Zusammenhänge zu kennen, um das beste Ergebnis für die Gesamtsicherheit zu erzielen.
IEM (Security Information and Event Management) und SOAR (Security Orchestration Automation and Response) haben durchaus Gemeinsamkeiten, so dass die Unterschiede nicht immer auf den ersten Blick ersichtlich sind. Da Unternehmen jedoch weiterhin nach Möglichkeiten suchen, die Prozesse zur Reaktion auf Sicherheitsvorfälle zu optimieren, in der Hoffnung auf eine schnellere Lösung von Sicherheitsvorfällen, werden diese Unterschiede immer deutlicher. Dies gilt insbesondere, wenn man Faktoren wie die mittlere Zeit bis zur Erkennung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR) betrachtet.
Grund genug, die beiden Technologien und die Unterschiede einmal näher unter die Lupe zu nehmen.
Was ist SIEM?
SIEM-Lösungen sammeln relevante Protokoll-, Log- und Ereignisdaten aus verschiedensten Quellen aus den Bereichen wie beispielsweise Security, Netzwerk, Server oder auch Anwendungen. Typische Beispiele für Quellen sind Firewalls, IPS-Lösungen (Intrusion Prevention Systeme), Antimalware-Software, DLP-Lösungen oder auch Web-Content-Gateways.
Die aus diesen Quellen aggregierten Daten werden dann von der SIEM-Lösung in Echtzeit analysiert, um etwaige Sicherheitsprobleme zu erkennen. Da mehrere Datenquellen analysiert werden, erkennt das SIEM-System Bedrohungen, indem es Informationen aus mehr als einer Quelle korreliert. Schlussendlich ordnet das SIEM die Ereignisse beziehungsweise Ergebnisse hinsichtlich ihrer Bedeutung ein.
Ein gängiges Beispiel für ein SIEM in Aktion ist, wenn ein System eine ungewöhnliche Anzahl von Anmeldeversuchen auf einem bestimmten System feststellt. Nach der Erkennung benachrichtigt das SIEM das SecOps-Team über den Vorfall, damit dieses das Potenzial eines kompromittierten Systems oder kompromittierter Benutzeranmeldedaten untersuchen kann.
Security-Admins obliegt dann die Aufgabe, die verschiedenen Ereignisse durchzusehen, um etwa die Quelle der Bedrohung aufzuspüren und das Problem zu beheben. Oder, um festzustellen, dass es sich nicht um eine Bedrohung handelt und die Analyse entsprechend so zu justieren, dass dieses Ereignis als gutartig eingestuft wird. Auf diese Weise lernt die SIEM-Software zunehmend besser zu erkennen, was eine echte Bedrohung ist und welche Ereignisse nur verdächtig erscheinen.
Betrachtet man SIEM aus der MTTD- und MTTR-Perspektive, so zeichnet sich das Tool durch die Erkennung von Bedrohungen aus, da es sicherheitsrelevante Daten aus verschiedenen Quellen aufnimmt. Das Problem ist jedoch, dass SIEMs dafür berüchtigt sind, so viele Vorfallwarnungen zu erzeugen, dass es für SecOps-Teams schwierig wird, zu wissen, wo sie anfangen sollen. Dies kann auch zu Ermüdungserscheinungen führen. Aus MTTR-Sicht sind SIEMs also nur dann erfolgreich, wenn die Tools kontinuierlich angepasst werden, um die Alarmflut zu begrenzen.
Was ist SOAR?
SIEM-Tools gehören seit vielen Jahren zu den etablierten Sicherheitswerkzeugen. SOAR (Security Orchestration, Automation and Response) ist hingegen ein jüngerer Ansatz. Sowohl SOAR als auch SIEM aggregieren Sicherheitsdaten aus verschiedenen Quellen, aber die Herkunft und die Menge der bezogenen Informationen unterscheiden sich. Während SIEM-Lösungen in erster Linie Protokoll- und Ereignisdaten aus traditionellen Infrastrukturquellen einsammeln, kommen bei SOAR noch weitere Faktoren hinzu.
SOAR wurde entwickelt, um Unternehmen dabei zu helfen, interne und externe Bedrohungen besser zu organisieren und den Prozess der Triage und Lösung von Vorfällen zu beschleunigen. SOAR nutzt KI (künstliche Intelligenz), um Vorfallwarnungen besser zu priorisieren, so dass die SecOps-Teams wissen, welche Bedrohungen zuerst bearbeitet werden müssen. SOAR verwendet auch ein Konzept, das als Playbooks bekannt ist - vorgefertigte und automatisierte Abhilfeschritte, die bei Erreichen bestimmter Schwellenwerte eingeleitet werden.
Wenn man SOAR und SIEM gegenüberstellt, sammeln beide Sicherheitsdaten aus verschiedenen Quellen, aber die Orte und die Menge der Informationen, die sie beziehen, sind unterschiedlich.
Ein Beispiel dafür, wo SOAR einen Mehrwert bieten kann, ist die Eindämmung von Malware. Im Gegensatz zu einem herkömmlichen SIEM, dass nur einen Malware-Vorfall innerhalb eines Unternehmensnetzwerks erkennen und melden kann, kann ein SOAR automatisierte Malware-Playbooks verwenden, um kompromittierte Geräte ohne menschliches Eingreifen zu identifizieren und unter Quarantäne zu stellen.
In Bezug auf MTTD und MTTR kann SOAR relativ wenig zu dem verbessern, was SIEM aus einer MTTD-Perspektive erreichen kann. Mit Fortschritten bei der Priorisierung von Alarmen und KI-gestützten Playbooks für die Reaktion auf Vorfälle kann die MTTR jedoch erheblich reduziert werden.
SOAR vs. SIEM: Die wesentlichen Unterschiede
Wenn man SOAR und SIEM gegenüberstellt, sammeln beide Sicherheitsdaten aus verschiedenen Quellen, aber die Orte und die Menge der Informationen, die sie beziehen, sind unterschiedlich. Während SIEMs verschiedene Protokoll- und Ereignisdaten aus traditionellen Quellen von Infrastrukturkomponenten aufnehmen, tun SOARs dies ebenso, geht aber darüber hinaus. Außerdem konzentrieren sich SOARs mehr auf die Priorisierung von Alarmen, die von verschiedenen Sicherheitstools, einschließlich SIEM, erkannt werden. Ein weiterer Aspekt ist die Nutzung von KI und Automatisierung, die SOARs zur Lösung oder Eindämmung von Problemen einsetzen, während SIEMs diese lediglich identifizieren.
SOAR-Systeme ziehen Informationen aus externen Feeds zu neuen Bedrohungen, Endpunktsicherheitssoftware und anderen Quellen von Drittanbietern heran, um ein besseres Gesamtbild der Sicherheitslandschaft innerhalb und außerhalb des Netzwerks zu erhalten. SOARs heben die Analyse auf eine neue Ebene, indem sie definierte Untersuchungspfade erstellen, die auf der Grundlage eines Alarms verfolgt werden. Die durch bessere Analysen gewonnenen Erkenntnisse können dann in automatisierte Aufgaben umgesetzt werden, um Probleme im Namen des Sicherheitsteams zu lösen und so die Arbeit der menschlichen Analysten zu unterstützen.
Wie SOAR und SIEM SecOps unterstützen
Beim Vergleich zwischen SOAR und SIEM ist zu beachten, dass herkömmliche SIEMs nur eine Warnung ausgeben. Danach obliegt es dem Security- beziehungsweise SecOps-Team, den Weg einer Untersuchung zu bestimmen. SOARs, die Untersuchungspfad-Workflows automatisieren, können den Zeitaufwand für die Bearbeitung von Warnmeldungen erheblich verringern. Sie liefern auch Erkenntnisse über die Fähigkeiten der Sicherheitsadministratoren, die für die Durchführung einer Untersuchung erforderlich sind.
SIEMs sind jedoch gut geeignet, um Daten für Bedrohungswarnungen zusammenzufassen und zu analysieren. Aus diesem Grund entscheiden sich viele Unternehmen dafür, sowohl SIEM als auch SOAR einzusetzen. Die Kombination der beiden Technologien führt zu deutlich niedrigeren MTTD- und MTTR-Ergebnissen.
Wer sich ausführlicher mit wichtigen Größen bei der Vorfallreaktion wie Mean Time to Detect (MTTD), Mean Time to Identify (MTTI) und Mean Time to Respond (MTTR) beschäftigen will, findet Informationen hierzu in dem Beitrag Incident Response: Die wichtigsten Kennzahlen im Überblick.
Zugangsdaten gehören zu den großen Sicherheitsrisiken in Unternehmen. Ein ordentliches Identitäts- und Zugriffsmanagement reicht von Zugangskontrolle...
Weiterlesen
Die sichere Authentifizierung von Anwendern und Geräten ist eine wichtige Säule der Gesamtsicherheit, um den Zugriff auf Anwendungen und Daten im ...
Weiterlesen
Zoom Meetings oder Zoom Rooms? Die zwei Lösungen haben unterschiedlichen Stärken für die Remote-Arbeit, hybride Teams oder fest installierte ...
Weiterlesen
