Системи управління інформаційною безпекою (SIEM, SOAR)

«SIEM» називають злиття функцій управління інформацією про безпеку (SIM), тобто процес збору, моніторингу та аналізу даних з автоматично генеруються комп'ютерних журналів (звітів), і управління подіями безпеки (SEM) — процес централізації даних журналу комп'ютера з декількох джерел (систем, кінцевих точок, додатків і служб) для поліпшення виявлення інцидентів безпеки та управління цими подіями за допомогою формалізованого процесу реагування.

Розвиток SIEM шляхом додавання автоматизації різних кейсів породило новий клас систем, який, по суті, SIEM переріс. Назвали їх SOAR. Залежно від того, що лежить в основі цієї системи, вона може мати різні назви: дії по забезпеченню безпеки, аналітика і звітність — Security Operations, Analytics and Reporting (SOAR) чи оркестрації подій безпеки та автоматичне реагування — Security Orchestration, and Automated Response. SOAR є спеціальним інструментом для узагальнення відомостей про загрози безпеки, які подаються з різних джерел, з подальшим аналізом цих даних.

Перевагою SOAR є повна автоматизація процесів управління інформаційною безпекою: починаючи від призначення пріоритетності і закінчуючи відповідями на виниклі інциденти. На відміну від аналізу логів, що забезпечується SIEM, рішення SOAR увібрали в себе цілий набір різних технологій, що забезпечують діяльність сервісних центрів і служб моніторингу. Використання SOAR дозволяє виробляти інтеграцію відомостей, що надходять з різних джерел, про загрози для системи безпеки. Це досягається за допомогою трьох основних модулів.