SIEMはSOCにインシデントデータを提供します。このテクノロジーは、セキュリティイベント管理(SEM)のログデータとセキュリティ情報管理(SIM)のデータ分析を組み合わせることで、脅威の監視と対応において重要な役割を果たします。SIEMプラットフォームの中には、機械学習や行動分析をモニタリングに適用できるものもありますが、これは最終的には本来の目的ではありません。
SIEMの中核的な機能は、何よりも、インシデントアラートを生成してセキュリティチームに送信し、調査と修復を行うことです。SIEMソリューションではアラートの管理と分類が可能ですが、セキュリティ担当者は通常、これを手作業で処理します。脅威に対処する時間が短縮されるだけでなく、通知疲れにもつながります。
SOARソリューションは、セキュリティ・チームがデータ収集、脅威分析、インシデント対応プロセスを自動化できるように設計された統合テクノロジーとツールのシステムで構成されている。SOARは通常、一体となって動作する複数のサイバーセキュリティ・ソリューションで構成されるため、そのユースケースは非常に幅広い。とはいえ、SOAR ソリューションは通常、脅威の検出と修復をプロアクティブに調整、自動化、優先順位付けすることに特化しています。
SOARを活用することで、担当者はより複雑な問題に取り組み、より高度な脅威を緩和することに集中できるようになり、同時にセキュリティ・オペレーション・センター(SOC)がインシデントの可能性を事前に警告できるようになる。
SIEMとSOARの違いとは?
SOARは、多くの点でSIEM技術の直接的な進化を表している。どちらも複数のソースから脅威インテリジェンスを収集・集約し、組織のセキュリティ・インシデントへの対応を効率化するように設計されています。SIEMベンダーの多くがSOARのような機能を組み込み始めている一方で、この2つの用語を同じ意味で使い始めているベンダーさえある。
しかし、この2つは互換性がない。
SOARソリューションは、より多くのデータを収集し、リアルタイムの情報を取り入れ、複数の外部ソースやサードパーティソースを活用します。また、収集したデータをさらに活用し、セキュリティ・チームにコンテキストに沿ったアラートと事前定義された調査パスを提供します。SOARプラットフォームは、プレイブックを活用してさらに高度な自動化を行い、機械学習を活用してより効果的に成長させることもできます。
最後に、SIEMはセキュリティアラートを生成し、SOARはそれらのアラートをインテリジェントに管理し、優先順位をつける。
どっちがいい?SIEMかSOARか?
大企業も中小企業も、増え続けるデバイスと戦っており、それぞれが攻撃対象として増えている。同時に、ほとんどの企業はサイバーセキュリティのスキル・ギャップとリソース不足に直面している。サイバーセキュリティの人材確保は、中小企業にとって特に厄介な問題です。
人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD®は、企業が必要とする専門知識とサポートを提供します。CylanceGUARD が具現化する包括的な専門知識と、AI ベースのエンドポイントプロテクション(EPP)を組み合わせています。 BlackBerry Cybersecurity Servicesを通じたAIベースのエンドポイントプロテクション(EPP)と組み合わせています。 CylancePROTECT®による継続的な認証と分析 CylancePERSONA™による継続的な認証と分析、そして CylanceOPTICS®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。
関連リソース
データ損失防止(DLP)
エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)
エンドポイント検出と応答(EDR)
エクステンデッド・ディテクション&レスポンス(XDR)
アイデンティティとアクセス管理(IAM)
マネージド・ディテクション&レスポンス
マネージドXDR
MITRE ATT&CK フレームワーク
モバイル脅威防御(MTD)
ユーザーとエンティティの行動分析(UEBA)
ゼロ・トラスト・アーキテクチャ
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ゼロ・トラスト・セキュリティ
セキュリティ情報・イベント管理(SIEM)
セキュアアクセスサービスエッジ(SASE)