有些公司企业可能会认为安全信息与事件管理(SIEM)技术只与安全日志收集有关,但这不是 LogRhythm NextGen SIEM 系统的全部。
近日,LogRhythm发布了其 NextGen SIEM 7.4 版,加入了先进的安全编排、自动化与响应(SOAR)功能。本次更新的几个新功能中,案例战术手册用于组织安全事件的工作流。自动化响应动作和安全运营中心(SOC)指标也是新添加到该平台中的。
LogRhythm联合创始人兼首席产品与技术官 Chris Petersen 称:7.4版本中,我们深化了SOAR功能集,引入了更正式的程序性战术手册以及特定的任务集和通用问题的处理流程,比如勒索软件和网络钓鱼问题。这些战术手册可应用到调查中,随后所有的流程、任务以及随之而来的截止期都能应用该手册,以便确保安全运营团队能执行高度一致的响应。
LogRhythm 7.4 更新还往平台中集成了额外的自动化响应动作。LogRhythm有个名为智能响应( Smart Response )的框架,能启动不同插件提供缓解与响应动作。插件包括威胁情报查找和缓解操作,比如禁用账户、隔离终端和终止会话等。
Petersen提到,他们一直在往该框架中添加新的插件,以便能够集成各式各样的第三方技术。他们的库中大约添加了45个额外的自动化动作。
新更新中指标也得到了有力提升。Petersen表示,平台如今有了更深层次的指标供公司企业用以衡量分拣通过安全警报的用时,以及执行威胁调查需要花费多少时间。
我们的目标是为CISO或SOC经理提供安全运营团队运作情况的详尽信息,了解团队在检测及响应威胁方面的水平。
Thoma Bravo
LogRhythm于今年7月2日被私人股本公司 Thoma Bravo 收购,自此之后的连番大动作标志着今年注定是LogRhythm极不平凡的一年。
LogRhythm的日常运营都发生了很大变化。Thoma Bravo 团队带来了管理经验,有助于加速增长LogRhythm的业务。
Thoma Bravo 为管理团队引入了大量专业知识,帮助我们继续实现业务目标和公司使命——下一代SIEM的平台领头羊。
SIEM vs SOAR
SIEM市场曾经只关心日志文件,对SIEM的传统看法非常狭隘,并不能真实反映公司企业的需求。
SIEM我首要和基本功能就是驱动对威胁的检测与响应。SIEM本质使命是关联数据、识别正确的警报并让团队加以响应。
现代环境下,想让团队能够更快响应,需要编排和自动化尽可能多的动作。在SIEM中集成进SOAR功能是SIEM应提供的演进。
SOAR作为覆盖在遗留SIEM上的独立技术面临的挑战之一,是需要通过API将两种不同软件集成到一起,还需要形成某种形式的集成工作流。
维护两个不同技术而不是将SOAR集成进SIEM,会拖慢进程,引入不必要的复杂度。LogRhythm模式则有统一的用户界面,可使用户通过关联和分析穿过SIEM组件,直接进入到缓解执行动作。
不用在两种不同软件之间来回切换以执行本应联动的工作流。基本上,我们想达到的目的就是加快吞吐和加速SOC流程。
在未来,LogRhythm还将应用机器学习功能为平台增添行为和预测分析。
Petersen表示,明年用户将看到他们发布更多SOAR和UEBA产品。他们将着眼更注重网络检测方面事务的新产品。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。