()

Wstęp

SIEM i SOAR to dość znaczące skróty w świecie cyberbezpieczeństwa. W dzisiejszych czasach zarówno SIEM i SOAR są fundamentem dla bezpieczeństwa większych organizacji. Żeby mieć jasność, o czym będzie mowa w tym artykule, zacznę od wyjaśnienia tych dwóch pojęć.

Źródło: https://pixabay.com/pl/illustrations/bezpiecze%C5%84stwo-cyber-dane-komputer-4868165/

SIEM

SIEMSecurity Information and Event Management. Można to przetłumaczyć jako System Zarządzania Informacjami i Zdarzeniami Bezpieczeństwa. SIEM łączy w sobie dwie technologie:

  • SIM – Zarządzanie informacjami (bezpieczeństwa), czyli danymi, które są przetwarzane i przechowywane.
  • SEM – Zarządzanie zdarzeniami (bezpieczeństwa), czyli reagowanie na naruszenia polityki bezpieczeństwa informacji.

SOAR

SOARSecurity Orchestration, Automation and Response. SOAR skupia się na zautomatyzowanych działaniach, które mają na celu odpowiedź na pojawiające się incydenty bezpieczeństwa informacji.

Incydent bezpieczeństwa informacji można definiować zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, który stwierdza:

„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;”

Oznacza to, że incydent bezpieczeństwa można rozpatrywać w oparciu o Triadę CIA, czyli poufność, integralność i dostępność.

Co to jest SIEM?

SIEM to podstawowe narzędzie dla osób, które pracują w SOC (Security Operation Center), czyli w sercu bezpieczeństwa organizacji. SOC całodobowo monitoruje i natychmiastowo reaguje na stale pojawiające się incydenty bezpieczeństwa. Można powiedzieć, że osoby pracujące w SOC są na pierwszej linii cyfrowego frontu.

SIEM kontroluje praktycznie wszystko, co dzieje się w sieci – zbiera dane z wielu urządzeń sieciowych, m.in. z serwerów, firewalli i przede wszystkim komputerów użytkowników. Kluczowe w SIEM jest to, że działa on w czasie rzeczywistym, dzięki czemu odpowiednia do tego osoba może błyskawicznie zająć się obsługą danego incydentu.

SIEM opiera się przede wszystkim na logach. Log to informacja zapisana w formie wpisu w dzienniku, która przede wszystkim ma za zadanie utrwalić dokładną datę i opis zdarzenia, wraz z wieloma innymi wpisami (np. adres IP lub login użytkownika). To właśnie logi są kluczowe dla SIEM.

Kluczowe funkcjonalności SIEM

  1. Zbieranie i łączenie w całość danych z różnych systemów, aplikacji, serwerów itd.
  2. Zestawianie ze sobą zdarzeń, mające na celu wykrywanie anomalii.
  3. Przechowywanie zebranych informacji.
  4. Generowanie alertów bezpieczeństwa.
  5. Generowanie raportów.
  6. Wizualizacja danych.
  7. Możliwość integracji z innymi aplikacjami i narzędziami.

Warto podkreślić, że SIEM-y mogą bardzo różnić się od siebie. Nie ma konkretnych funkcjonalności lub standardów, które określają co konkretnie ma zawierać w sobie SIEM. Definicja ameryańskiego NIST (Narodowego Instytutu Norm i Technologii) wygląda następująco:

Application that provides the ability to gather security data from information system components and present that data as actionable information via a single interface.

Aplikacja, która umożliwia zbieranie danych dotyczących bezpieczeństwa z komponentów systemu informatycznego i prezentowanie tych danych jako informacje możliwe do wykorzystania przez pojedynczy interfejs.

Źródło: https://pixabay.com/pl/photos/security-video-kamera-system-4835557/

Wybrane rozwiązania SIEM

Zestawienie zawiera subiektywnie wybrane rozwiązania SIEM. Pozycja w zestawieniu nie przekłada się na określenie, które rozwiązanie jest lepsze.

  1. AlienVault – najpopularniejszy otwartoźródłowy SIEM. Korzystanie z niego jest darmowe. Więcej o nim możesz przeczytać w moim artykule na PushSec.

Logo AlienVault

  • SolarWinds Security Event Manager – o nim również napisałem artykuł na blogu. Ten SIEM posiada darmową, 30-dniową wersję próbną. Przeznaczony jest głównie dla większych organizacji.

Źródło: https://www.solarwinds.com/security-event-manager

  • Splunk Enterprise Security – dość popularne rozwiązanie SIEM. Można się nauczyć podstaw Splunka poprzez pokoje na TryHackMe, co serdecznie polecam.

Logo Splunk

Co to jest SOAR?

SOAR pełni trochę inną rolę od SIEM, ponieważ skupia się na automatyzacji i odpowiedzi na incydenty. Warto również podkreślić, że SOAR przede wszystkim wykonuje pewne czynności zamiast człowieka. Według Microsoftu zastosowanie SOAR pozwala zmniejszyć liczbę fałszywie pozytywnych alertów (ang. false positive) o 79%, co jest dość znaczącą wartością. Oznacza to, że SOAR w organizacji pozwala zoptymalizować czas i koszty związane z reagowaniem na incydenty, co jest bardzo ważne na styku IT i biznesu.

Rola SOAR zwiększa się tym bardziej, im większa jest organizacja.

Źródło: https://pixabay.com/pl/photos/oko-informacja-technologia-cyfrowy-3374462/

Wybrane rozwiązania SOAR

Zestawienie zawiera subiektywnie wybrane rozwiązania SOAR. Pozycja w zestawieniu nie przekłada się na określenie, które rozwiązanie jest lepsze.

1. Splunk SOAR

Splunk oferuje również SOAR. To rozwiązanie może być zintegrowane z wieloma innymi platformami.

Źródło: https://www.splunk.com/en_us/products/splunk-security-orchestration-and-automation.html

Logo Splunk

2. Chronicle SOAR

Chronicle SOAR jest rozwiązaniem od Google. Z założenia działa jako środowisko chmurowe.

Logo Chronicle

3. Rapid7 InsightConnect

Rapid7 InsightConnect jest rozbudowanym SOAR, które przede wszystkim skupia się na zarządzaniu podatnościami, reagowaniem na incydenty i automatyzacją w działaniach SOC.

Logo Rapid7

Co jest lepsze – SIEM czy SOAR?

Nie da się jednoznacznie odpowiedzieć na to pytanie, ponieważ mimo podobieństw SIEM i SOAR odpowiadają za trochę inne działania.

To trochę jak porównywanie ziemniaka do jabłka – oba da się zjeść, ale jednak służą do przygotowania innych potraw.

Przede wszystkim, SIEM i SOAR mogą ze sobą współpracować. Nie są wykluczającymi się platformami. Zintegrowanie ze sobą SOAR i SIEM może przynieść nam wymierne korzyści, ponieważ pozwala nam na zmniejszenie ilości alertów, które wymagają manualnego zarządzania. Należy jednak pamiętać, aby traktować SOAR jako dopełnienie do SIEM.

Przykładowe korzyści z połączenia SIEM i SOAR to przede wszystkim:

  • Automatyzacja reagowania na incydenty;
  • Szybsze reagowanie na incydenty;
  • Wydajniejsza praca Security Operation Center;
  • Prostsze zarządzanie ryzykiem.

Czy wdrożenie SOAR jest trudne?

Odpowiedź na to pytanie jest niejednoznaczna – wszystko zależy od tego, jak duża jest dana organizacja. Na pewno SOAR jest szczególnie wskazane w środowiskach, w których liczba alertów SIEM jest duża. Przy wdrażaniu SOAR należy pamiętać o tym, aby współpracował on z już istniejącym środowiskiem – np. z EDR/XDR.

Przed wdrożeniem SOAR należy przeprowadzić analizę dotyczącą tego, czy takie rozwiązanie będzie potrzebne w naszej organizacji. Niektórzy dostawcy SIEM pozwalają również na zintegrowaną implementację SOAR, na przykład Microsoft Sentinel.

Lista 10 pytań przed wdrożeniem SOAR

  1. Jak duża jest moja organizacja?
  2. Ile incydentów obsługuje SOC?
  3. Czy jestem/jesteśmy w stanie przekonać biznes do inwestycji w SOAR?
  4. Jak obecnie reagujemy na incydenty?
  5. Czy jesteśmy w stanie wdrożyć SOAR?
  6. Jaki jest cel we wdrożeniu SOAR?
  7. Jakie mamy oczekiwanie odnośnie ROI?
    (Return On Investment – zwrot z inwestycji)
  8. Jakie rozwiązanie będzie najlepsze dla mojej organizacji?
  9. Z czym chcę zintegrować SOAR?
  10. Czy potrzebuję SOAR?

Podsumowanie

Zarówno SIEM i SOAR to kluczowe systemy w zakresie cyberbezpieczeństwa w organizacjach. Obecnie coraz większą rolę w SIEM-ach zaczyna odgrywać sztuczna inteligencja, co nie powinno szczególnie dziwić – może jednak przynieść to nieoczekiwane rezultaty w przyszłości.

Na pewno warto rozumieć obydwa pojęcia, ponieważ to na nich w dużej mierze opiera się cyberbezpieczeństwo w praktyce. SIEM i SOAR to dwa skróty, które bez wątpienia będą przydatne zarówno dla IT, jak i dla biznesu.

Wdrożenie SIEM i SOAR zależy przede wszystkim od potrzeb danej organizacji – nie ma jednego, utartego schematu, który będzie odpowiadał każdemu.

Pisał dla Was Oskar Klimczuk.

Źródła

SIEM, SEM i SIEM – https://www.microsoft.com/pl-pl/security/business/security-101/what-is-siem

SOAR – https://www.microsoft.com/pl-pl/security/business/security-101/what-is-soar

Definicja SIEM od NIST – https://csrc.nist.gov/glossary/term/security_information_and_event_management_tool

SIEM – https://en.wikipedia.org/wiki/Security_information_and_event_management

SIEM i SOAR – https://www.nomios.pl/aktualnosci/siem-czy-soar/

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić