امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

SOAR چیست + تفاوت SOAR و SIEM

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

امروزه وقت و زمان در دنیای امنیت و تکنولوژی بسیار اهمیت دارد و انجام فرآیند ها به شکل صحیح در کمترین زمان ممکن یکی از مزیت های این حوزه میباشد. به واسطه این موضوع امروزه ما راهکار ها و Platform های متنوعی را در جلوی خودمان میبینیم که در فرآیند های Automation و خودکار سازی به ما کمک بسیاری میکنند و در وقت و زمان و فشار کاری بر روی بر روی کارکنان یک سازمان را کاهش میدهند؛ در همین باب یکی راهکار های بسیار قدرتمند ارائه شده در دنیای امنیت راهکار SOAR میباشد.

راهکار SOAR چیست؟

درواقع SOAR تشکیل شده از چند کلمه متنوع میباشد که عبارتند از:

Security Orchestration, Automation And Response 

هرکدام از سه کلمه بالا خود دارای راهکار های متنوع و فرآیند های مختلفی هستند و راهکار SOAR این سه راهکار را باهم ترکیب سازی کرده است و یک راهکار واحد در دنیای امنیت به منظور پاسخگویی یه حوادث با کاهش و صرفه جویی در وقت و زمان و فشار بر روی کارکنان ارائه کرده است.
راهکار SOAR همانطور که اشاره کردیم سه راهکار و یا سه قابلیت نرم افزاری را با یک دیگر ترکیب میکند که عبارتند از:

  •  مدیریت تهدید ها یا همان Threat Management
  • پاسخگویی به آسیب پذیری ها یا همان Vulnerabilities Responding
  •  پاسخ گویی به حوادث یا همان Incident Response 
  • خودکار سازی فرآیند های امنیتی

به همین سبب SOAR توانایی ایجاد و پیاده سازی یک سیستم مدیریت تحدید با استراتژی های پاسخگویی را برای ما دارد. با شناخت قابلیت ها و کار های متنوع موجود در SOAR متوجه میشویم که این ابزار در حوزه امنیت بسیار ارزشمند و پرکاربرد میباشد.

از جمله این نرم افزار ها و محصولات که به عنوان SOAR عمل میکنند عبارتند از:
  • Splunk Phantom
  • FortiSOAR
  • IBM Resilient
  • SIRP
  • ServiceNow
  • Exabeam
  • RespondX

راهکار SIEM چیست

درواقع SIEM تشکیل شده از کلمات Security Information And Event Manger میباشد‌‌ که به زبان ساده SIEM توانایی جمع آوری اطلاعات و مرتب سازی آنها به شکل خوانا و ارائه توانایی تجزیه و تحلیل آنهارا به ما دارد. درواقع تیم های SoC و IT از SIEM ها میتوانند بهره های بسیار زیادی ببرند از جمله:

  • دریافت داده های متنوع از چند نقطه 
  • تلفیق و مدیریت داده های دریافتی
  • جمع آوری رویداد های امنیتی و تجزیه و تحلیل آنها
  • شناسایی و شکار تهدیدات
  • ایجاد اعلان های خودکار سازی شده

SOAR چیست + تفاوت SOAR و SIEM

همچنین یک SIEM به منظور اینکه بتواند رویداد ها و اطلاعات امنیتی را مدیریت کند از موارد زیر استفاده میکند:
اول - Data Collection, Consolidation و Correlation: درواقع SIEM همانطور که میدانید داده هارا میبایست از منبع خاصی دریافت کنند که این منبع ها عبارتند از:

  • سرور ها و سیستم عامل ها
  • فایروال ها و تجهیزات امنیتی
  • سیستم های تشخیص نفوذ و جلوگیری از نفوذ 
  • و...

این فرایند دریافت داده از سمت سیستم های متنوع وابسته یه SIEM مورد نظر شما میباشد برای مثال در Splunk که یک‌ SIEM بسیار پرطرفدار میباشد ما میتوانیم از راهکار UF و یا راهکار HEC استفاده کنیم, داده ها پس از دریافت به شکل خوانا در SIEM قرار میگیرند و طبقه بندی میشوند. راه ها قوانین مختلفی برای طبقه بندی و سازماندهی این اطلاعات وجود دارد که به تیم های IT و SoC در شکار و شناسایی تهدیدات کمک زیادی میکند.

نکته: برای آشنایی با HEC در Splunk به این مقاله مراجعه کنید.

دوم - Notification: اعلان ها بخش مهمی از SIEM هستند زیرا این اعلان ها در زمانی که یک رخداد یا Event خاصی دریافت شود و با SIEM Rule مورد نظر مطابق باشد به نوعی که یک تهدید شناخته شود‌ آن وقت از طرف SIEM یک اعلان داده میشود که تیم IT و یا تیم SoC و یا پرسنل امنیتی آنجا موضوع را بررسی و اقدامات مورد نظر را انجام بدهد.
سوم - Policies: در این بخش توسط اشخاصی که مسئول بخش امنیتی هستند در SIEM قوانینی تعیین میشود که درصورت دریافت Evant و اطلاعات خاصی آنهارا با این قوانین تجزیه و تحلیل کنند.

از جمله این نرم افزار های قدرتمند که به عنوان SIEM فعالیت میکنند عبارتند از:

  • SolarWinds Security Event Manager (SEM)
  • Sumo Logic
  • Splunk Cloud And Splunk Enterprise
  • IBM QRadar
  • McAfee Enterprise Security Manager

تفاوت SIEM و SOAR در چیست

در واقع SOAR و SIEM هردو دارای یک ماهیت هستند و هر دو توانایی و وظیفه جمع آوری اطلاعات و کشف تهدیدات میباشند. همچنین این دو راهکار با اعلان های که میتوانند ایجاد کنند در کمترین زمان و به سرعت میتوانند به مسئولان بخش امنیتی اطلاعاتی در رابطه با رخداد یا مشکل به وجود آمده بدهند تا مسئولان امنیتی به منظور رفع مشکل و بررسی آن در آنجا حاضر شوند. با این حال اگر بخواهیم کمی ریز تر نگاه کنیم متوجه میشویم که تفاوت های قابل توجهی در بین SIEM و SOAR وجود دارد که میتوانیم به آنها اشاره کنیم:
راهکار SOAR درواقع از یک بستر مشابه SIEM استفاده میکند و داده هارا دریافت میکند و تجزیه و تحلیل میکند و به مسئولان امنیتی گزارش و هشدار را به تیم های امنیتی میدهد. علاوه بر این SOAR دارای ویژگی های Automation میباشد که این موضوع آن را یک گام از SIEM به جلو می‌کشاند زیرا قابلیت Automation در SOAR به حدی بالا میباشد که توانایی پشتیبانی از نرم افزار های متنوع موجود در حوزه Automation و Configuration Management همانند Puppet و Ansible را نیز دارد و SIEM صرفا تانایی Automation در سطح Command و Rule های خودش نه درسطح Playbook مانند نرم افزار های که نام بردیم. همچنین SOAR با ادغام سازی با Artificial Intelligence(AI) یا همان هوش مصنوعی میتواند رفتار های متنوع تهدیدات را شناسایی و یادبگیرد. علاوه برا این SOAR توانایی ادغام سازی با Threat Party Module های امنیتی را دارد و SIEM توانایی ادغام سازی با نرم افزار های اسکن امنیتی و آسیب پذیری

SOAR چیست + تفاوت SOAR و SIEM



امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

09 اردیبهشت 1400 این مطلب را ارسال کرده

نظرات