SIEM vs SOC: Pag-unawa sa Kanilang Mga Katangi-tanging Tungkulin
Ang impormasyon sa seguridad at pamamahala ng kaganapan (SIEM) ay isang software platform na naka-plug sa iyong imprastraktura ng IT at sinusubaybayan ang seguridad at data ng log na nabubuo ng mga application at device sa halos real time. Ang Security Operations Center (SOC), gayunpaman, ay isang sentralisadong pangkat ng mga kawani na sama-samang nagtatrabaho upang malutas ang mga isyu sa seguridad sa buong organisasyon. Ang SOC ay responsable para sa patuloy na pagsubaybay at pagpapabuti ng postura ng seguridad ng isang organisasyon habang nagde-detect, nagsusuri, at pumipigil sa mga insidente ng cybersecurity.
Habang ang SIEM ay halos palaging isang kritikal na kinakailangang bahagi sa loob ng isang SOC, ang mga kakayahan ng dalawang field ay lubhang magkaiba. Ang nagpapalubha rito ay ang pagkakaroon ng SOC bilang isang serbisyo (SOCaaS). Ie-explore ng artikulong ito ang mga pagkakaiba sa pagitan ng dalawang field ng SIEM at SOC, at kung paano makakadagdag ang bawat isa sa isa sa isang komprehensibong diskarte sa seguridad.
Susunod na Henerasyon ng SIEM
Stellar Cyber Next-Generation SIEM, bilang isang kritikal na bahagi sa loob ng Stellar Cyber Open XDR Platform...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas at pagtugon sa pagbabanta. Iskedyul ang iyong demo ngayon!
Ano ang Papel ng SOC?
Bilang Security Operations Center, ang pangunahing layunin ng SOC ay subaybayan at kumilos sa mga pag-atake na lumalabag sa mga depensa ng isang enterprise. Minsan, kumikilos din sila bilang isang one-stop shop para sa mas malawak na pagpapanatili ng seguridad - nagsasagawa ng mga pagsusuri sa kahinaan at mga pagsasanay sa pagtugon sa insidente. Ang malawak na hanay ng mga gawain ay maaaring maging mahirap na isipin kung paano gumagana ang mga SOC, at maputik na pagtatangka na subaybayan at pagbutihin ang istraktura at pag-optimize ng isang koponan.
Upang maipaliwanag ang panloob na gawain ng isang SOC, kapaki-pakinabang na hatiin ang mga indibidwal na tungkulin na nasa loob ng:
Espesyalista sa Triage, Tier 1
Ang mga analyst ng Tier-1 ay pinakamalapit sa raw na data ng seguridad sa iyong organisasyon. Kasama sa kanilang operational focus ang pag-validate, pagtatasa, at pagsubaybay sa mga alerto gamit ang nauugnay na on-hand na data. Nagsusumikap din silang pumili ng mga lehitimong alerto mula sa mga maling positibo, tukuyin ang mga kaganapang may mataas na peligro, at unahin ang mga insidente batay sa pagiging kritikal.
Insidente Responder, Tier 2
Tinutugunan ng mga analyst ng Tier-2 ang mga insidente sa seguridad na pinalaki ng mga tagatugon ng tier-1. Nagsasagawa sila ng mga detalyadong pagtatasa sa pamamagitan ng paghahambing ng mga insidente laban sa threat intelligence at mga kilalang Indicators of Compromise (IoCs). Kasama sa kanilang tungkulin ang pagsusuri sa saklaw ng mga pag-atake at mga apektadong system, pag-convert ng raw na data ng pag-atake mula sa tier-1 tungo sa naaaksyunan na katalinuhan, at pag-iisip ng mga diskarte sa pagpigil at pagbawi.
Threat Hunter, Tier 3
Ang mga analyst ng Tier-3 ay ang pinakamaraming miyembro ng SOC, na humahawak sa mga makabuluhang insidente na pinarami ng mga tumutugon sa insidente. Pinamunuan nila ang mga pagsusuri sa kahinaan at mga pagsubok sa pagtagos upang matuklasan ang mga potensyal na vector ng pag-atake. Ang kanilang pangunahing pokus ay ang maagap na pagtukoy ng mga banta, mga puwang sa seguridad, at mga kahinaan. Inirerekomenda din nila ang mga pagpapabuti para sa mga tool sa pagsubaybay sa seguridad at suriin ang mga kritikal na alerto sa seguridad at katalinuhan na nakalap ng mga analyst ng tier-1 at tier-2.
Tagapamahala ng SOC
Pinamunuan ng mga tagapamahala ng SOC ang pangkat, na nagbibigay ng teknikal na patnubay at namamahala ng mga tauhan. Ang kanilang mga responsibilidad ay sumasaklaw sa pagkuha, pagsasanay, at pagsusuri ng mga miyembro ng pangkat; pagtatatag ng mga proseso, pagtatasa ng mga ulat ng insidente, at pagbuo ng mga plano sa komunikasyon sa krisis. Ang kanilang tungkulin ay maaari ding sumaklaw sa pamamahala sa pananalapi ng SOC, suportahan ang mga pag-audit sa seguridad, at mag-ulat sa punong opisyal ng seguridad ng impormasyon (CISO) o isang katulad na posisyon sa pamamahala sa pinakamataas na antas.
Dahil sa medyo compact na katangian ng istraktura ng SOC, karaniwan itong makita SOC bilang isang Serbisyo inaalok sa mga organisasyong hindi kinakailangang magkaroon ng mga mapagkukunan para sa isang ganap na in-house na koponan.
Ano ang Papel ng SIEM sa loob ng isang SOC?
Ang mga analyst ng SOC ay nahaharap sa nakakatakot na gawain ng pagprotekta sa kumplikadong network at mga arkitektura ng seguridad, na maaaring makabuo ng sampu o kahit daan-daang libong mga alerto sa seguridad araw-araw. Ang pamamahala sa napakaraming dami ng mga alerto ay lampas sa kapasidad ng maraming pangkat ng seguridad, at ito ay a pare-parehong salik sa mga pangunahing hamon sa industriya tulad ng alertong pagkapagod. Dito maaaring maging napakahalaga ang tamang solusyon sa SIEM.
Ang mga sistema ng SIEM ay nagpapagaan ng ilan sa mga pasanin sa tier-1 at tier-2 na mga analyst ng SOC sa pamamagitan ng pagsasama-sama ng data mula sa maraming mapagkukunan at paggamit ng data analytics upang matukoy ang mga posibleng banta. Sa pamamagitan ng pag-filter sa napakaraming impormasyon, binibigyang-daan ng mga solusyon ng SIEM ang mga analyst na ituon ang kanilang mga pagsisikap sa mga kaganapan na pinakamalamang na bumubuo ng mga tunay na pag-atake sa kanilang mga system. Matuto pa tungkol sa SIEM fundamentals dito.
Bagama't kayang pangasiwaan ng mga komersyal na tool at pang-iwas na kontrol ang karamihan ng mababang-sophistication, mataas na dami ng pag-atake, mahalagang tandaan na ang tanawin ng pagbabanta ay patuloy na umuunlad. Ang mga organisasyong may profile ng banta ng napakahusay at naka-target na pag-atake ay kailangang gumamit ng mga bihasang indibidwal na may kakayahang tumugon sa mga advanced na banta na ito. Ang mga solusyon sa SIEM ay umaakma sa kadalubhasaan ng mga propesyonal na ito sa pamamagitan ng pagbibigay ng data at mga insight na kinakailangan upang matukoy at tumugon sa mga kumplikadong hamon sa seguridad nang epektibo.
SIEM vs SOC: Mga Pangunahing Pagkakaiba
Ang SOC ay isang dedikadong yunit sa loob ng isang organisasyon, na responsable para sa komprehensibong pamamahala ng diskarte sa cybersecurity ng enterprise. Kabilang dito ang pagtuklas, pagsusuri, at pagtugon sa mga insidente sa seguridad, pati na rin ang pangkalahatang koordinasyon at pagpapatupad ng mga hakbang sa pag-iwas. Sa partikular na malalaking organisasyon, ang koponan ay maaaring tawaging GSOC – o Global Security Operations Center.
Pag-drill down sa mga pang-araw-araw na function ng isang SOC, ang SIEM ay isang partikular na tool na ginagamit upang mapahusay ang visibility ng mga indibidwal na kaganapan sa seguridad. upang maipaliwanag ang mga pagkakaiba sa pagitan ng SOC at SIEM, isipin ang SOC bilang isang pangkat ng mga opisyal ng imbestigasyon; ang kanilang SIEM ay parang network ng mga security camera, nagre-record ng mga kaganapan habang nangyayari ang mga ito. Sa pamamagitan ng pagsubaybay sa mga log at data ng application, posible para sa SIEM na magbigay ng pinagsama-samang data at awtomatikong pagsusuri, na tinutukoy ang mga banta sa seguridad na mas mabilis kaysa sa manu-manong pagtuklas. Habang ang isang SOC ay sumasaklaw sa mas malawak na diskarte sa seguridad ng organisasyon, ang mga solusyon sa SIEM ay mga espesyal na tool na sumusuporta sa mga operasyon ng SOC.
Ang sumusunod na talahanayan ay nag-aalok ng paghahambing ng feature-by-feature:
SIEM | SOC | |
| Pagtuon sa Operasyon | Nagtitipon at nag-uugnay ng data mula sa iba't ibang mapagkukunan, bumubuo ng mga alerto batay sa paunang natukoy na mga panuntunan ng vendor o ugnayan, at nag-aalok ng mga kakayahan sa pag-uulat. | Gumagamit ng maraming iba't ibang tool (kabilang ang SIEM) upang komprehensibong matukoy, suriin, at tumugon sa mga insidente sa cybersecurity. |
| Mga Kakayahang Tumugon sa Banta | Ang mga tradisyunal na sistema ng SIEM ay maaari lamang magsuri ng mga log at makabuo ng mga alerto. Ang mas advanced na mga tool ay nag-aalok ng mas detalyadong pagbabanta ng intel at mga awtomatikong tugon. | Manu-manong tumutugon sa mga alerto sa pamamagitan ng pagsusuri sa mga kaganapan, pagtatasa ng kalubhaan ng mga ito sa mas malawak na konteksto ng mga ito, at pinipili ang pinakamahusay na pagkilos upang mabawasan ito. Maaari rin silang gumawa ng mga pagsisikap sa pagbawi pagkatapos ng insidente. |
| saklaw | Makitid na saklaw, nakatuon lamang sa pamamahala ng kaganapang pangseguridad at impormasyon. | Kumuha ng mas malawak na saklaw sa seguridad ng organisasyon bago at pagkatapos ng pag-atake. |
| gastos | Maaaring magkaroon ng malaking gastos, depende sa laki ng organisasyon at sa dami ng data na kailangang suriin. Nangangailangan ng maraming kadalubhasaan upang ma-set up at epektibong pamahalaan. | Nangangailangan ng mataas na pamumuhunan – parehong mag-set up ng dedikadong team, at pagkatapos ay panatilihin ang mga bihasang propesyonal sa seguridad. |
Anong mga Hamon ang Hinaharap ng mga SOC Kapag Sumasama sa SIEM Systems?
Ang pagsasama ng isang top-spec na SIEM ay nangangailangan ng antas ng kadalubhasaan. Lahat ng napakaraming organisasyon ay nag-iisa lamang para sa pinakamataas na spec na tool, para lamang matugunan ang mga hamon na pagkatapos ay nagpapakilala ng mga kahinaan sa buong SOC.
Mga Kahilingan sa Log
Ang pag-log ng SIEM ay nasa puso ng kakayahan ng SIEM – ito ang lihim na sarsa na nagbibigay-daan sa raw data na mabago sa mga makabuluhang insight. Gayunpaman, ang paraan kung saan pinangangasiwaan ng tool ng SIEM ang mga log ay kailangang mapanatili nang mahigpit sa buong buhay nito. Halimbawa, isaalang-alang ang katotohanan na ang Windows-based na mga system ay hindi natively log lahat ng mga kaganapan; sa OS na ito, ang pag-log ng proseso at command line, Windows driver framework logs, at PowerShell logs, ay hindi pinagana bilang default.
Gayunpaman, ang pagpapagana sa lahat ng ito nang walang pag-tune ay maaaring mabilis na magpapabigat sa isang SIEM na may mahalagang walang silbing data. Higit pa rito, ang mga Windows log na pinagana bilang default ay madaling gamitin, ngunit naglalaman din ng maraming ingay. Ang pagkolekta ng log, pati na rin ang pag-parse at pag-filter ay nangangailangan ng pasensya at oras - hindi banggitin ang patuloy na muling pagsusuri. Kung wala ito, ang mga hamon sa SOC ay mas mahirap labanan.
Mga Maling Positibo at Hindi Nasagot na Pag-atake
Naka-link sa isyu ng pamamahala ng log ay isang diskarte ng SIEM tool sa pagkilala sa pagbabanta. Malaki ang kontribusyon ng mataas na volume ng alerto sa mga oras ng pagpapagaan - kung tutuusin, kung ang mga analyst ng SOC ay naiiwan sa walang katapusang mga alerto, ang kanilang mga pagkakataong maabot ang mga tunay na kaganapan sa seguridad sa oras ay lubhang nababawasan. Ang mga maling positibong ito ay isang paraan lamang kung saan ang hindi wastong pagsasaayos ay maaaring makagulo sa mga oras ng pagtugon. Ang isa pa ay sa pamamagitan ng maling pagkaka-configure ng mga panuntunan sa pagtuklas.
Ang mga solusyon sa SIEM ay may kakayahang awtomatikong makakita ng ilang uri ng pag-atake – halimbawa, kung ang isang ZIP file ay naka-attach sa isang email. Gayunpaman, kapag ang kabuuan ng mga kakayahan sa pagtuklas ng banta ng isang organisasyon ay nakabatay sa panuntunan, maaari nilang mapansin ang isang nobela o sopistikadong pag-atake – at kailangan lang ng isang pangangasiwa para makuha o mapalaki ng isang umaatake ang access na kailangan nila.
Nawalang Konteksto
Ang isang pangunahing hamon sa pamamahala ng SIEM ay isang pangkalahatang pagtuon sa pagbibigay-priyoridad sa pagkolekta ng data kaysa sa pamamahala ng log.
Maraming mga pagpapatupad ng SIEM ang lubos na nakatuon sa pangangalap ng data ngunit kadalasang napapabayaan ang pagpapayaman ng log. Nangangahulugan ang diskarte na ito na habang ang mga SIEM ay maaaring makabuo ng mga alerto batay sa nakolektang data at pagsusuri, ang mga alertong ito ay hindi napapatunayan. Bilang resulta, sa kabila ng potensyal na mas mataas na kalidad at mas nakabatay sa konteksto kaysa sa raw data, ang mga alerto sa SIEM ay maaari pa ring magsama ng mga maling positibo.
Halimbawa, isaalang-alang ang isang analyst na nagsusuri ng isang potensyal na kahina-hinalang domain. Ang DNS log ay maaaring magbigay ng domain name, source at destination IP header na impormasyon. Gayunpaman, ginagawang mahirap ng limitadong data na ito na matukoy kung nakakahamak, kahina-hinala, o benign ang domain. Kung walang karagdagang konteksto at pinayamang impormasyon, ang paghatol ng analyst ay mahalagang haka-haka lamang.
Pagpapasya sa Pagitan ng SIEM, SOC, o Pagsasama ng Pareho
Bagama't ang bawat organisasyon ay natatangi, mayroong ilang mga unibersal na salik at diskarte na gumagawa ng tanong na "pumili ba ako ng SOC, isang SIEM, o pareho?" mas madaling sagutin. Una, gayunpaman, mahalagang itapon ang anumang hilig ng paghahambing ng saklaw ng iyong organisasyon sa iyong mga kakumpitensya. Bagama't lubos na nauunawaan, tandaan na - kung mayroon kang isang paglabag na hindi natukoy - ang ulat ng postmortem ay napakakaunting makikinabang mula sa pagsasabi na ang iyong mga kapantay sa industriya ay wala ring tool sa seguridad na iyon.
Upang masagot ang tanong, ang unang punto ng pagsasaalang-alang ay ang iyong pag-atake. Mula sa intelektwal na pag-aari hanggang sa data ng mga tauhan at mga sistema ng negosyo, malamang na ang iyong organisasyon ay may mas masusugatan na mga asset kaysa sa naiisip mo. Sa mundo ngayon, ang impormasyon ay isang lubos na hinahangad na kalakal - ibig sabihin na ang pagprotekta sa data ng negosyo ay pantay na mahalaga. Ito ang pangunahing dahilan kung bakit naging karaniwang kasanayan ang mga SOC sa halos bawat sektor. Ang paghihiwalay sa cybersecurity mula sa iyong kasalukuyang IT staff ay higit na nagbibigay-daan para sa dedikado at tuluy-tuloy na proteksyon na 9:00 hanggang 5:00 na suporta sa IT ay hindi nakaposisyon para ibigay. Nasagot ang isang tanong.
Ang isa pa - kung mamumuhunan sa isang tool ng SIEM pati na rin sa isang SOC - ay nakasalalay sa kung ano ang kailangan ng iyong SOC team upang mapanatiling ligtas ang iyong organisasyon. Kung ang iyong negosyo ay may hindi nagbabagong mababang panganib na profile – at hindi kailangang sumunod sa mga partikular na obligasyon sa pagsunod – maaaring posible na iwasan ang halaga ng mga karagdagang tool sa seguridad sa ngayon. Gayunpaman, para sa anumang negosyo na humahawak ng data ng customer - kabilang ang pagbabayad, personal na impormasyon tulad ng mga email address, at pangangalagang pangkalusugan - ito ay nagkakahalaga ng pag-aaral nang mas malalim sa kung ano ang kailangan ng iyong SOC upang gumanap nang mahusay.
Bakit Karaniwang Pinakamahusay ang Dalawa
Bagama't ang bawat organisasyon ay natatangi, ang pagkakaroon ng mga karaniwang paraan ng pag-atake ay nangangahulugan na ang ilang mga diskarte ay halos magagamit sa pangkalahatan upang bumuo ng isang mas mahusay na paninindigan sa seguridad. Ang MITER ATT&CK ay isa sa gayong open source na balangkas. Sa pamamagitan ng pagmomodelo ng mga pamamaraan ng attacker, nagagawa ng mga organisasyon na ipasok ang kanilang mga proseso at kontrol sa isang attacker-first mindset.
Kinakatawan ng SIEM tool ang isa sa pinakamabisa at epektibong paraan ng paglalapat ng pilosopikal na balangkas na ito sa isang organisasyon. Sa pamamagitan ng pagmomodelo sa bawat panuntunan sa alerto ng SIEM sa isang partikular na taktika at pamamaraan, nagagawa ng iyong SOC na bumuo ng isang tunay na larawan ng kung ano ang sapat na mapipigilan ng iyong set ng panuntunan. Ang malalim na pag-unawa na ito ay nagbibigay-daan sa iyo na ipaliwanag ang mga nuances ng saklaw na umiiral - ibig sabihin, maaari itong mapabuti sa paglipas ng panahon.
Higit pa rito, sa pundasyong ito ng mga alertong hinimok ng TTP, nagiging posible para sa iyong organisasyon na makinabang mula sa SOC automation. Ang pag-convert ng lahat ng nauugnay na log sa isang tiket, kahit na ang mga pangunahing tool ng SIEM, ang insidente ay maaaring awtomatikong italaga sa pinakanauugnay na miyembro ng iyong SOC team, batay sa kanilang kadalubhasaan at availability. Pagkatapos ay maaari silang magsimula ng karagdagang pagtatasa kasama ang lahat ng nauugnay na impormasyon sa kanilang pagtatapon.
Higitan ang Siled Tooling kasama ang Stellar Cyber
Ang SOC automation ng Stellar Cyber napupunta sa itaas at higit pa sa mga indibidwal na platform: sa halip na tumingin lamang sa mga log, ang platform ng Extended Detection and Response (XDR) ng Stellar Cyber ay nag-o-automate ng pangongolekta ng data sa lahat ng kapaligiran at application. Sa pamamagitan ng matalinong pagkolekta ng tamang data sa mga network, server, VM, endpoint, at cloud instance, maaaring iugnay ng malakas na data-analysis engine ang Mga Case ayon sa real-life threat intel. Ang lahat ng pagsusuring ito ay inaalok sa pamamagitan ng isang platform ng pagsusuri, na nagpapahintulot sa mga analyst ng SOC na magsimula ng pagsisiyasat nang isang hakbang sa unahan.
Ang Stellar Cyber ay nagpapakita ng mga pagbabanta sa isang format na pinangungunahan ng pagpapagaan, na nagbibigay-daan sa mga analyst na tukuyin ang mga ugat at durugin ang mga banta nang mas mabilis kaysa dati. Galugarin ang nangungunang XDR ng Stellar Cyber ngayon at tumuklas ng diskarte na higit pa sa mga static na panuntunan.
