信息安全领域里，我们往往需要使用不同的解决方案来帮助保护企业的整个内部信息系统。信息安全解决方案结合了技术类别（硬件，软件，基础架构）和规范类别（企业文化，IT策略，治理政策）。

您在日常业务过程或对信息安全技术进行了解过程中，往往经常听到三个信息安全概念是SIEM，UEBA和SOAR。本文将向您详细介绍这些系统各自的功能以及它们之间的主要区别。

什么是SIEM？

 

图：SIEM解决方案主要功能点

安全信息和事件管理（SIEM）是一种解决方案，可从企业内部信息系统中的各个IT网络节点收集日志和事件信息。SIEM工具尝试通过关联从日志收集的所有信息来识别威胁：通过获取不同类型的日志和事件数据，对其进行解析、格式化，最终实现关联。关联成果与事件的实时分析相结合，以帮助检测企业信息系统中的威胁。

SIEM软件往往具有警报功能，且告警频率频繁。这意味着安全运营团队将经常被警报数量所淹没，无法保持对真正需要应对的突发事件与高安全级别事件的敏感性。SIEM工具在企业中应用也较为广泛，以下是它们的一些主要优点：

• 初级半自动化的网络安全事件处理和响应机制
• 实现了数据聚合，关联规则和实时事件监视，改进了安全防护
• 能够自动执行合规报告，并对适用的行业法规（例如GDPR，HIPAA和PCI DSS）的合规性进行评估

什么是UEBA？

 

图：UEBA三项支柱理念

用户和实体行为分析（UEBA）是一个使用行为分析来监视用户活动和基础结构实体（例如服务器和应用程序）的系统。UEBA系统建立用户活动及其与各种实体的交互的基线级别，并监视他们与该基线之间的偏差。

当UEBA系统检测到用户行为异常时，它将向安全运营人员发出警报，后者可以进行进一步调查。UEBA系统的优点包括：

• 具备通过识别异常行为，来准确检测受恶意应用、病毒、勒索软件影响用户的能力
• UEBA系统可用作防止数据丢失的解决方案的一部分
• 能通过确保正确使用访问权限来防止滥用特权的安全问题产生
• 通过自动化，提高了企业安全运营效率
• 使用高级行为分析来减少攻击面，以经常向安全运营人员通知有关网络中潜在脆弱点的信息

什么是SOAR？

 

图：SOAR平台聚合与输出能力示意图

SOAR（安全协调，自动化和响应）是一种新兴的解决方案，使组织能够更快，更有效地响应安全事件和威胁。Gartner预测， SOAR平台的采用率将从2018年使用该工具的组织的1％增长到2020年的15％。

SOAR平台可以从大量内部和外部来源收集有关多种类型的安全威胁，警报和数据的信息。SOAR工具的一些优点是：

• 能够作为集成现有信息安全工具和威胁情报的外部来源
• 作为所有安全事件得以体现的中心平台，加快事件响应速度
• 对低级安全事件的自动响应，使安全运营团队可以专注于对企业安全最严重的威胁
• 减少调查误报的时间

SIEM，UEBA和SOAR之间的差异

听起来简单地使用SOAR工具就可以解决您的所有问题，但是事实并非如此。这些系统中的每一个都有其自己的优点，并且与单独使用时相比，将它们结合使用，功能更强大。

SIEM工具擅长从各个节点收集日志数据，并格式化存储这些数据。尽管SIEM更加专注于与可疑网络行为有关的日志和事件信息，但UEBA软件强调了用户和实体的行为。这方面而言，UEBA是SIEM的扩展，适用于信息安全的不同方面。

SOAR技术可以满足SIEM工具无法满足的的需求，即可以对恶意活动采取“行动（Action）”。SIEM工具可以标记可疑行为，但是，诸如误报和事件优先级之类的问题可能会妨碍其效率。

SOAR平台允许对低级事件进行自动响应，并纠正事件优先级。由于SOAR平台协调来自许多不同来源的信息，它们能够为组织的信息安全体系建设提供了更高水平的效率和能力。

结论

值得注意的是，SIEM，UEBA和SOAR技术均可以在改善企业网络安全现状方面提供出色的表现。每个企业都有自己的现成工具，您需要检查您现有的工具包，以确认现有的工具是否与SIEM，UEBA和SOAR的任何功能重叠。您要做的最后一件事是，不采用使事情复杂化的冗余软件。

值得注意的是，这些工具的使用不仅限于拥有大量IT预算的大企业。较小的企业也面临信息安全威胁。UEBA是一种较为小众的产品，市场尚不成熟；SOAR是一种较新的技术，但其开源选择受到更多限制，且多数开源解决方案对企业而言无法直接应用，并不现实。

立即联系我们，以了解碳泽将如何帮助您提高组织的安全性。