
Production Perig - stock.adobe.c
Wie unterscheiden sich SOAR und SIEM voneinander?
Bei der Betrachtung von SOAR und SIEM ist es wichtig, die Unterschiede und Zusammenhänge zu kennen, um das beste Ergebnis für die Gesamtsicherheit zu erzielen.
SIEM (Security Information and Event Management) und SOAR (Security Orchestration Automation and Response) haben durchaus Gemeinsamkeiten, so dass die Unterschiede nicht immer auf den ersten Blick ersichtlich sind.
SIEM-Lösungen sammeln relevante Protokoll-, Log- und Ereignisdaten aus verschiedensten Quellen aus den Bereichen wie beispielsweise Security, Netzwerk, Server oder auch Anwendungen. Typische Beispiele für Quellen sind Firewalls, IPS-Lösungen (Intrusion Prevention Systeme), Antimalware-Software, DLP-Lösungen oder auch Web-Content-Gateways.
Die aus diesen Quellen aggregierten Daten werden dann von der SIEM-Lösung in Echtzeit analysiert, um etwaige Sicherheitsprobleme zu erkennen. Da mehrere Datenquellen analysiert werden, erkennt das SIEM-System Bedrohungen, indem es Informationen aus mehr als einer Quelle korreliert. Schlussendlich ordnet das SIEM die Ereignisse beziehungsweise Ergebnisse hinsichtlich ihrer Bedeutung ein.
Security-Admins obliegt dann die Aufgabe, die verschiedenen Ereignisse durchzusehen, um etwa die Quelle der Bedrohung aufzuspüren und das Problem zu beheben. Oder, um festzustellen, dass es sich nicht um eine Bedrohung handelt und die Analyse entsprechend so zu justieren, dass dieses Ereignis als gutartig eingestuft wird. Auf diese Weise lernt die SIEM-Software zunehmend besser zu erkennen, was eine echte Bedrohung ist und welche Ereignisse nur verdächtig erscheinen.
SIEM-Tools gehören seit vielen Jahren zu den etablierten Sicherheitswerkzeugen. SOAR (Security Orchestration, Automation and Response) ist hingegen ein vergleichsweiser neuer Ansatz. Sowohl SOAR als auch SIEM aggregieren Sicherheitsdaten aus verschiedenen Quellen, aber die Herkunft und die Menge der bezogenen Informationen unterscheiden sich. Während SIEM-Lösungen in erster Linie Protokoll- und Ereignisdaten aus traditionellen Infrastrukturquellen einsammeln, kommen bei SOAR noch weitere Faktoren hinzu.
SOAR berücksichtigt beispielsweise externe Informationen wie Threat Intelligence Feeds von Anbietern von Sicherheitssoftware oder anderen externen Drittanbietern. Diese Informationen werden miteinbezogen, um ein besseres Gesamtbild der Sicherheitslandschaft innerhalb und außerhalb des Unternehmensnetzwerks zu erhalten. SOAR hebt die Analyse auf eine andere Ebene, indem es zusätzliche Daten anreichert, die dann die Grundlage für die Weiterverfolgung von Alarmmeldungen bilden können.
Beim Vergleich von SIEM und SOAR, liefert SIEM mehr oder minder nur den eigentlichen Alarm. Danach liegt es am Administrator die weiteren Schritte einzuleiten. Mit Hilfe von SOAR werden auch die jeweils notwendigen Arbeitsabläufe als Reaktion auf bestimmte Sicherheitsvorfälle automatisiert. SOAR unterstützt die IT-Abteilung nicht nur bei der Analyse von Sicherheitsmeldungen, sondern kann auch aktiv auf Situationen reagieren. Ein sauber implementiertes SOAR-System kann die Effizienz eines IT-Teams deutlich steigern.