Tierney - stock.adobe.com
Wie können sich SIEM und SOAR ergänzen?
Häufig wurde zunächst angenommen, SOAR-Lösungen könnten SIEM-Produkte ersetzen. Dabei ist es sinnvoller, wenn sich beide Ansätze zielführend ergänzen und IT-Teams so entlasten.
Fragt man Security-Admins, ob sie eher SIEM- oder SOAR-Lösungen bevorzugen, dann lautet die Antwort mit hoher Wahrscheinlichkeit: „Beides“. In bestimmten IT-Umgebungen ist der eine oder andere Ansatz jeweils allein vermutlich völlig ausreichend, idealerweise ergänzen sich die beiden Lösungsansätze jedoch.
SIEM (Security Information and Event Management) eignet sich ganz hervorragend für die Verarbeitung und Aufzeichnung traditionellen Protokoll- und Ereignisdaten, die von Geräten aus der lokalen Infrastruktur stammen. Exemplarisch seien hier Firewalls, Server, IPS-Lösungen (Intrusion Prevention) und Anwendungen genannt. Alle Daten werden aggregiert, korreliert und analysiert, um daraus zu untersuchende Warnmeldungen zu generieren. Problematisch ist dabei meist, dass die SIEM-Lösungen weit mehr Warnmeldungen generiert, als von der IT-Abteilung verarbeitet werden können.
SOAR (Security Orchestration Automation and Response) hingegen berücksichtigt nicht nur interne Protokoll- und Ereignisdaten, sondern bezieht auch externe Informationen mit. Dies können beispielsweise Threat Intelligence Feeds von Sicherheitsanbietern sein. Zudem kommen bei SOAR auch Funktionen zum Einsatz, die entsprechend nachfolgende Abläufe zur Untersuchung von Warnmeldungen und Behebung etwaiger Probleme automatisieren. Dadurch lässt sich der Zeitaufwand für die Behebung beziehungsweise Beseitigung von Ereignissen erheblich reduzieren.
SIEM-Lösungen eignen sich ganz trefflich, um lokale Logfiles, Protokolldateien und Ereignisinformationen in Entscheidungen miteinzubeziehen. Obwohl SOAR-Produkte dies auch erledigen könnten, sind diese nicht als Ersatz für SIEM gedacht. Wird beides in Verbindung miteinander ergänzend genutzt, ist dies im Hinblick auf die Sicherheit sinnvoller. SIEM kann in Verbindung mit SOAR dazu genutzt werden, um dem Ablauf einer etwaigen Untersuchung auf Grundlage von SIEM- und SOAR-Daten zu unterstützen.
SOAR geht darüber hinaus und kann die IT-Teams, nachdem die Ereignisse analysiert worden sind, mit automatisierten Abläufen unterstützen und so zur Entlastung beitragen.