SOAR、SOC和SIEM三者之间具有密切的关系,它们可以相互集成与协同作用,形成一个全面有效的安全保障体系。嘶吼安全产业研究院认为,SOAR在最早期是SOC中的一环,SOC作为安全运营平台,需要检测和响应相结合,但现实是大多数安全厂商早期的SIEM聚焦在事件精准告警和威胁发现层面,在响应层面几乎没有,因此衍生出了SOAR的概念。
嘶吼安全产业研究院认为,目前我国的SOAR正处于成长期阶段,相较于国外较为发达的技术,我国SOAR积累的知识、剧本都有限,使用场景也较为单一,未来随着时间的推移,剧本量会极速扩充,应用细化的场景随之扩大,逐步迈入成熟期。
嘶吼安全产业研究院根据调研的信息了解到,现阶段具有SOAR产品的厂商为客户提供的价值主要表现在以下四个方面:减轻告警疲劳、降本增效、知识留存、提升合规性等。SOAR在解决现代企业安全性的挑战方面具有重要的意义,为企业提供更高效、更可靠、更符合合规性的安全管理支持,帮助企业提升其竞争优势和可持续发展。
“如何精进SOAR产品为客户提供的服务”是具有SOAR产品的厂商亟需解决的问题之一,目前SOAR产品研发过程中和应用中的难点和发展瓶颈
在于接口能力能否降低时间成本、剧本编排是否符合客户要求的特定场景、生产出的产品是否具有可用性、收集和处理的数据异构性如何避免。
本文来自知之小站
PDF完整报告已分享至知识星球,微信扫码加入立享4万+最新精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
