امروزه وقت و زمان در دنیای امنیت و تکنولوژی بسیار اهمیت دارد و انجام فرآیند ها به شکل صحیح در کمترین زمان ممکن یکی از مزیت های این حوزه میباشد. به واسطه این موضوع امروزه ما راهکار ها و Platform های متنوعی را در جلوی خودمان میبینیم که در فرآیند های Automation و خودکار سازی به ما کمک بسیاری میکنند و در وقت و زمان و فشار کاری بر روی بر روی کارکنان یک سازمان را کاهش میدهند؛ در همین باب یکی راهکار های بسیار قدرتمند ارائه شده در دنیای امنیت راهکار SOAR میباشد.
درواقع SOAR تشکیل شده از چند کلمه متنوع میباشد که عبارتند از:
Security Orchestration, Automation And Response
هرکدام از سه کلمه بالا خود دارای راهکار های متنوع و فرآیند های مختلفی هستند و راهکار SOAR این سه راهکار را باهم ترکیب سازی کرده است و یک راهکار واحد در دنیای امنیت به منظور پاسخگویی یه حوادث با کاهش و صرفه جویی در وقت و زمان و فشار بر روی کارکنان ارائه کرده است.
راهکار SOAR همانطور که اشاره کردیم سه راهکار و یا سه قابلیت نرم افزاری را با یک دیگر ترکیب میکند که عبارتند از:
به همین سبب SOAR توانایی ایجاد و پیاده سازی یک سیستم مدیریت تحدید با استراتژی های پاسخگویی را برای ما دارد. با شناخت قابلیت ها و کار های متنوع موجود در SOAR متوجه میشویم که این ابزار در حوزه امنیت بسیار ارزشمند و پرکاربرد میباشد.
درواقع SIEM تشکیل شده از کلمات Security Information And Event Manger میباشد که به زبان ساده SIEM توانایی جمع آوری اطلاعات و مرتب سازی آنها به شکل خوانا و ارائه توانایی تجزیه و تحلیل آنهارا به ما دارد. درواقع تیم های SoC و IT از SIEM ها میتوانند بهره های بسیار زیادی ببرند از جمله:
همچنین یک SIEM به منظور اینکه بتواند رویداد ها و اطلاعات امنیتی را مدیریت کند از موارد زیر استفاده میکند:
اول - Data Collection, Consolidation و Correlation: درواقع SIEM همانطور که میدانید داده هارا میبایست از منبع خاصی دریافت کنند که این منبع ها عبارتند از:
این فرایند دریافت داده از سمت سیستم های متنوع وابسته یه SIEM مورد نظر شما میباشد برای مثال در Splunk که یک SIEM بسیار پرطرفدار میباشد ما میتوانیم از راهکار UF و یا راهکار HEC استفاده کنیم, داده ها پس از دریافت به شکل خوانا در SIEM قرار میگیرند و طبقه بندی میشوند. راه ها قوانین مختلفی برای طبقه بندی و سازماندهی این اطلاعات وجود دارد که به تیم های IT و SoC در شکار و شناسایی تهدیدات کمک زیادی میکند.
نکته: برای آشنایی با HEC در Splunk به این مقاله مراجعه کنید.
دوم - Notification: اعلان ها بخش مهمی از SIEM هستند زیرا این اعلان ها در زمانی که یک رخداد یا Event خاصی دریافت شود و با SIEM Rule مورد نظر مطابق باشد به نوعی که یک تهدید شناخته شود آن وقت از طرف SIEM یک اعلان داده میشود که تیم IT و یا تیم SoC و یا پرسنل امنیتی آنجا موضوع را بررسی و اقدامات مورد نظر را انجام بدهد.
سوم - Policies: در این بخش توسط اشخاصی که مسئول بخش امنیتی هستند در SIEM قوانینی تعیین میشود که درصورت دریافت Evant و اطلاعات خاصی آنهارا با این قوانین تجزیه و تحلیل کنند.
از جمله این نرم افزار های قدرتمند که به عنوان SIEM فعالیت میکنند عبارتند از:
در واقع SOAR و SIEM هردو دارای یک ماهیت هستند و هر دو توانایی و وظیفه جمع آوری اطلاعات و کشف تهدیدات میباشند. همچنین این دو راهکار با اعلان های که میتوانند ایجاد کنند در کمترین زمان و به سرعت میتوانند به مسئولان بخش امنیتی اطلاعاتی در رابطه با رخداد یا مشکل به وجود آمده بدهند تا مسئولان امنیتی به منظور رفع مشکل و بررسی آن در آنجا حاضر شوند. با این حال اگر بخواهیم کمی ریز تر نگاه کنیم متوجه میشویم که تفاوت های قابل توجهی در بین SIEM و SOAR وجود دارد که میتوانیم به آنها اشاره کنیم:
راهکار SOAR درواقع از یک بستر مشابه SIEM استفاده میکند و داده هارا دریافت میکند و تجزیه و تحلیل میکند و به مسئولان امنیتی گزارش و هشدار را به تیم های امنیتی میدهد. علاوه بر این SOAR دارای ویژگی های Automation میباشد که این موضوع آن را یک گام از SIEM به جلو میکشاند زیرا قابلیت Automation در SOAR به حدی بالا میباشد که توانایی پشتیبانی از نرم افزار های متنوع موجود در حوزه Automation و Configuration Management همانند Puppet و Ansible را نیز دارد و SIEM صرفا تانایی Automation در سطح Command و Rule های خودش نه درسطح Playbook مانند نرم افزار های که نام بردیم. همچنین SOAR با ادغام سازی با Artificial Intelligence(AI) یا همان هوش مصنوعی میتواند رفتار های متنوع تهدیدات را شناسایی و یادبگیرد. علاوه برا این SOAR توانایی ادغام سازی با Threat Party Module های امنیتی را دارد و SIEM توانایی ادغام سازی با نرم افزار های اسکن امنیتی و آسیب پذیری