Pohybujete-li se v kyberbezpečnosti, pravděpodobně jste už narazili na zkratky SIEM a SOAR. V tomto článku si vysvětlíme, co tyto pojmy znamenají, čím se tyto nástroje liší a proč jejich kombinací lze výrazně posílí kybernetickou bezpečnost organizace.

SIEM (Security Information and Event Management) a SOAR (Security Orchestration, Automation and Response) jsou v kyberbezpečnosti zavedené technologie. Obě lze zařadit mezi pokročilá řešení. Obě jsou velmi přínosné.

Nicméně rozlišit jejich role v bezpečnostní architektuře organizace nemusí být na první pohled úplně snadné. Podívejme se tedy na jejich funkce blíže. Protože se tématu co je to SIEM věnujeme v samostatném blogu, začněme vysvětlením, co je to SOAR.

Co je to SOAR?

SOAR (Security Orchestration, Automation and Response) je kategorie digitálních řešení, která se v rámci kyberbezpečnosti stará o automatizaci reakce na incidenty. 

Společnost Gartner, která pojem SOAR zavedla, definuje tato řešení jako platformy, které v sobě kombinují reakci na incidenty, orchestraci a automatizaci procesů a správu threat intelligence.

SOAR systémy se standardně integrují s celou řadou nástrojů, na jedné straně se zdroji alertů a informací, na straně druhé s nástroji, které umožňují „konat“. Jedná se typicky o SIEM systémy, firewally, IAM systémy, komunikační kanály nebo nástroje pro ochranu koncových stanic. 

SOAR možňuje centralizované zpracování alertů, obohacení dat o kontext a prioritizaci hrozeb. Jejich hlavním přínosem je automatizace rutinních úkonů, snížení manuální zátěže a zrychlení reakce na bezpečnostní události.

SOAR řešení obvykle fungují na základě tzv. Playbooků, tedy předem definovaných postupů, které určují automatizované nebo poloautomatizované kroky v reakci na konkrétní typy alertů. Může jít například o izolaci kompromitovaného zařízení, blokaci škodlivé IP adresy nebo informování příslušných týmů.

Díky orchestraci nástrojů a automatizaci reakcí zvyšuje SOAR efektivitu a škálovatelnost bezpečnostních operací a umožňuje analytikům soustředit se na skutečně důležité hrozby a  strategický rozvoj.

Ve firemním prostředí často fungují nástroje SIEM a SOAR ve vzájemné součinnosti. Typicky to vypadá tak, že SIEM detekuje hrozbu a vygeneruje alert, který je následně předán do SOAR systému, jenž zahájí odpovídající reakci.

Toto předání může probíhat buď prostřednictvím přímé integrace, nebo přes API. Například když SIEM vygeneruje alert, může být předán do SOAR platformy pomocí webhooku nebo fronty, případně SOAR aktivně dotazuje SIEM na nové alerty. Cílem je zajistit, aby se výstrahy ze SIEM automaticky dostávaly do SOAR systému  a žádný kritický incident tak neunikl pozornosti.

SIEM vs. SOAR: Jaký je mezi nimi rozdíl?

lock img

zdroj

SIEM a SOAR jsou moderní nástroje kyberbezpečnosti, které se často používají společně. Každý z nich však plní jinou roli.

SIEM (Security Information and Event Management) je bezpečnostní řešení určené ke sběru, analýze a korelaci logů a událostí napříč prakticky celým IT prostředím organizace, od serverů, operačních systémů a síťových zařízení až po aplikace, koncová zařízení či cloudové služby.

Díky tomu umožňuje bezpečnostním týmům analyzovat záznamy o aktivitách (logy) a včas rozpoznat podezřelé aktivity. Při správném nastavení generuje SIEM systém upozornění (alerty) na základě rozpoznaných vzorců a triggerů, čímž výrazně zrychluje reakci na incidenty a jejich následné řešení.

V neposlední řadě představuje SIEM důležitý nástroj pro zajištění souladu s legislativními požadavky a standardy (IT compliance), protože umožňuje uchovávat historická data pro účely auditu a obvykle také nabízí vestavěné reportovací funkce pro předpisy jako GDPR, HIPAA, DORA a další.

SOAR (Security Orchestration, Automation and Response) naopak není určen k detekci hrozeb. Jeho úkolem je zefektivnit a automatizovat reakci na bezpečnostní incidenty na základě alertů a detekcí z jiných zdrojů, typicky právě ze SIEM systémů.

Jak typicky spolu SIEM a SOAR kooperují? Jakmile SOAR obdrží alert ze SIEMu, například pomocí webhooku nebo fronty, přebírá roli koordinátora reakce na incident. Obohacuje upozornění o další kontext, například ověřením, zda je IP adresa známá jako škodlivá, stanoví prioritu a následně automaticky provede sadu předdefinovaných kroků, vedoucích k vypořádání se s hrozbou jako

  • blokace IP, portů,
  • deaktivace účtů, reset hesel,
  • izolace zařízení, karanténa souborů
  • mazání nebo blokace phishingových zpráv
  • vytvoření incidentu v ticketovacím systému (např. Jira, ServiceNow, Zendesk)
  • notifikace týmu (např. Slack, MS Teams, e-mail)
Co jsou to workflow a playbooky?
V tomto článku se několikrát zmiňují pojmy workflow a playbook. Obojí slouží k automatizaci procesů v rámci SOAR platforem, ale mezi nimi existují určité nuance.

Workflow
Jedná se o posloupnost automatizovaných kroků nebo akcí, které systém provádí za účelem splnění konkrétního úkolu. Příklad: Pokud je přijat alert → předat analytikovi → ověřit známé indikátory kompromitace (IOC) → izolovat koncový bod → informovat tým.

Playbook
Playbook je předdefinovaný a strukturovaný návod, jak postupovat při určitém typu bezpečnostního incidentu.Obsahuje jak automatizované kroky (workflows), tak i manuální rozhodnutí, dokumentaci, eskalační scénáře a šablony pro interní komunikaci. Příklad: „Jak reagovat na phishingový e-mail“ může zahrnovat automatizované akce (např. izolovat inbox, stáhnout podobné zprávy) i předání alertu bezpečnostnímu týmu k ručnímu přezkoumání.

Zjednodušeně lze hlavní rozdíl mezi SIEM a SOAR popsat jako:

SIEM vám řekne, co se ve vašem prostředí děje.
SOAR vám pomůže s tím něco udělat.

SOAR je často mylně považován za náhradu za SIEM. Ve skutečnosti ale plní oba systémy odlišné úkoly, i když se v některých funkcích částečně překrývají.

Ve většině případů se však vzájemně doplňují. Společně posilují obranyschopnost organizace, a zkracují dobu potřebnou k vypořádání se s hrozbou. 

Zda ve vaší organizaci potřebujete SIEM, SOAR, nebo ideálně obojí, si podrobněji vysvětlíme dále v článku.

Funkce a přínosy SIEM a SOAR

Podívejme se nyní blíže na klíčové vlastnosti a výhody obou nástrojů, včetně konkrétních příkladů z praxe.

SIEM

Sběr a analýza dat
SIEM platformy typu Logmanager centralizují sběr logů a událostí, čímž poskytují jednotný pohled na dění v IT prostředí organizace. Díky schopnosti rozpoznat vzorce chování typické pro kybernetické útoky dokáže SIEM detekovat i složité útoky, které by jednotlivé nástroje samostatně přehlédly.

SIEM není totéž co log management
SIEM je někdy zaměňován s nástroji pro správu logů. Jedná se ale o dvě rozdílné kategorie nástrojů.

Log management je primárně určen pro sběr, vyhledávání, analýzu a dlouhodobé uložení logů.
SIEM má širší záběr – zaměřuje se na bezpečnost, pomocí korelace logů a událostí identifikuje podezřelé aktivity, generuje alerty a pomáhá s dodržováním legislativy a oborových standardů.

Více se tomuto tématu věnujeme v našem článku SIEM vs. log management.

Alerting v reálném čase

Jakmile SIEM rozpozná podezřelý vzorec chování, okamžitě generuje alert. Právě tato vlastnost s sebou ale obvykle nese i úskalí. Při nesprávné konfiguraci SIEMu jsou bezpečnostní týmy zahlceny množstvím upozornění, z nichž řada nakonec není relevantní.

Pokročilé reportovací možnosti

SIEM nástroje se často využívají i jako podpůrné systémy pro dodržování souladu s předpisy (IT compliance). Nabízejí detailní reporty o přístupech, chování uživatelů nebo porušení compliance politik. Mnohé platformy obsahují i předpřipravené šablony pro nařízení jako GDPR, HIPAA nebo PCI-DSS, což výrazně usnadňuje prokazování souladu při auditec a kontrolách..

Automatizace a prioritizace incidentů

Moderní SIEM řešení v některých oblastech umožňují nahradit manuální práci automatizací. Například přidělují alertům skóre rizikovosti podle známých vzorců hrozeb, což pomáhá týmům prioritizovat a soustředit se na závažné incidenty.

Integrace s dalšími bezpečnostními nástroji

SIEM naplno využijete, když je propojen s dalšími systémy, jako jsou nástroje pro centralizovaný log management, firewally, EDR (endpoint detection and response), nástroje pro správu identit (IAM) nebo samozřejmě SOAR platformy.

Díky těmto integracím získává SIEM více kontextu o každé události, což analytikům umožňuje lépe porozumět situaci a následně efektivněji reagovat.

Příklad z praxe: SIEM vs. ransomware
Poskytovatel zdravotní péče čelil ransomware útoku, kdy se škodlivý kód začal šířit jeho sítí.

Útok odstartoval ve chvíli, kdy jeden ze zaměstnanců neúmyslně otevřel škodlivou přílohu v e-mailu. Během několika minut začal ransomware šifrovat soubory na jeho zařízení a postupně se šířil do sdílených složek v síti.

SIEM daného poskytovatele zdravotní péče průběžně sledoval logy i souborovou aktivitu a zaznamenal prudký nárůst operací typu „přejmenování souborů“. V tomto případě se jednalo o hromadné přejmenování souborů s podezřelými příponami jako .locked nebo .enc.

SIEM rozpoznal, že tento vzorec odpovídá chování ransomwaru, a okamžitě vygeneroval alert. Ten byl následně předán nástrojům pro reakci na incidenty, které automaticky izolovaly napadená zařízení od sítě. Tím se šíření ransomwaru podařilo zastavit.

Tento příklad ukazuje jednu z klíčových výhod SIEM řešení: nespoléhá se na rozpoznání konkrétního malwaru, ale sleduje typické vzorce a chování kybernetických útoků. Díky tomu dokáže reagovat rychle, a to i v případě dosud neznámé hrozby.Výsledkem bylo, že poskytovatel zdravotní péče se vyhnul plošnému zašifrování dat, výpadkům systému a ztrátě citlivých informací. 

SOAR

Automatizace reakce na incidenty
Hlavní funkcí SOAR platforem je automatizace reakce na bezpečnostní incidenty. Opakující se a časově náročné úkony, jako je třídění alertů, sběr informací o hrozbách nebo izolace napadených účtů, zvládá SOAR se strojovou rychlostí.

Díky tomu zvyšuje efektivitu bezpečnostních operací, zkracuje dobu reakce a umožňuje analytikům věnovat se strategičtější práci.

Škálovatelnost
SOAR systémy zvládnou paralelně spouštět desítky až stovky playbooků. Ať už jde o phishingovou kampaň nebo ransomwarový útok, SOAR pomáhá v reálném čase koordinovat reakci napříč nástroji i týmy.

Tato vlastnost je klíčová zejména pro větší nebo exponovanější organizace čelící většímu počtu hrozeb

Centralizace alertů z různých zdrojů
SOAR platformy sbírají alerty z nástrojů jako jsou firewally, EDR systémy či antiviry a zobrazují je v jednotném rozhraní. Díky tomu mají analytici kompletní přehled o škodlivých aktivitách napříč prostředím.

Zatímco SIEM zpravidla nabízí hlubší analytiku a dlouhodobé uchovávání dat, SOAR usnadňuje rychlé vyhodnocení, třídění a okamžitou reakci na příchozí alerty.

Case management
Díky case managementu mohou na jednom incidentu spolupracovat různí členové týmu. Poznámky k incidentům, rozhodnutí i další informace jsou uchovávány na jednom místě, což zlepšuje přehlednost a usnadňuje sdílení poznatků.

Snížení chybovosti
Při vysokém objemu dat a událostí je lidská chyba běžným rizikem. SOAR systémy analyzují výstrahy konzistentně a přesně, čímž snižují riziko, že bude podezřelá aktivita přehlédnuta nebo že se vynechá klíčový krok v postupu její eliminace.

Integrace threat intelligence feedů
SOAR nástroje se napojují na externí zdroje threat intelligence, které poskytují kontext. Jde například o známé indikátory kompromitace (IOC), taktiky útočníků nebo signatury malwaru. To analytikům pomáhá rychleji posoudit, zda jde o skutečnou hrozbu a jak na ni reagovat.

Mnoho SOAR platforem navíc umožňuje vytvářet vlastní logiku pro obohacení alertů, přizpůsobenou konkrétnímu prostředí organizace.

Příklad z praxe: SOAR a zrychlení reakce na incidenty
Globální telekomunikační společnost byla denně zahlcena množstvím bezpečnostních alertů.Většinu z nich tvořily méně závažné události, například opakovaná selhání přihlášení uživatelů. I přesto je však museli bezpečnostní analytici kontrolovat ručně.

Aby společnost zrychlila reakce a snížila zátěž týmu, nasadila SOAR platformu. Ta byla propojena s jejich SIEMem a dalšími detekčními systémy, takže alerty bylo možné zpracovávat automaticky.Například v případě upozornění na podezřelé přihlášení, tedy několik neúspěšných pokusů následovaných úspěšným přihlášením z cizí IP adresy, SOAR automaticky:
– ověřil IP adresu v threat intelligence feedech
– zablokoval uživatelský účet, pokud byla IP riziková
– vytvořil ticket v systému pro správu incidentů
– informoval bezpečnostní tým

Celý tento workflow proběhl bez zásahu člověka. Výsledkem bylo, že rutinní hrozby byly řešeny během několika sekund místo hodin. Analytici se mohli věnovat složitějším případům.

Srovnání SIEM vs. SOAR

SIEMSOAR
Hlavní účelDetekce hrozeb, analýza, uchování datKoordinuje a automatizuje reakci na incident
IntegraceIntegruje se se zdroji dat, jako jsou bezpečnostní zařízení, koncová zařízení, firewally, operační systémy, cloudové služby atd.Propojuje se s nástroji zaměřenými na akci, jako jsou firewally, EDR, ticketovací systémy i se zdroji dat jako jsou SIEM, threat intelligence feedy, IDS/IPS, apod.
Reakce na incidentyDetekuje hrozby a generuje alerty; samotná reakce zpravidla vyžaduje ruční zásahStandardizuje a automatizuje reakční workflow na základě alertů z jiných systémů
Sběr datSbírá a ukládá velké objemy dat (logy, události)Neprovádí vlastní sběr logů; pracuje s alerty z jiných systémů (např. SIEM)
VýstupPoskytuje přehled o dění v infrastruktuře z provozního a bezpečnostního pohledu; slouží k analýze a reportinguUmožňuje rychlou, opakovatelnou a konzistentní reakci na bezpečnostní hrozby s minimálním manuálním zásahem

Tab 1: Srovnání vlastností SIEM a SOAR

SIEM, SOAR, nebo obojí? Jak se rozhodnout

cybersec man img

zdroj

Ne každá organizace potřebuje hned od začátku kombinaci SIEM a SOAR.

Pokud je hlavním cílem detekce hrozeb, monitoring aktivit nebo splnění požadavků na compliance, SIEM je solidní první krok. Poskytne vám přehled o dění v infrastruktuře a pomůže lépe prioritizovat bezpečnostní incidenty.

Pokud už samotná viditelnost nestačí, pokud hrozby přicházejí rychle nebo je váš tým přetížený, přichází ke slovu SOAR.

Pokud už máte stabilní tok alertů a chcete zefektivnit reakci, SOAR vám umožní jednat rychleji a zároveň uvolní kapacity týmu pro důležitější práci.

Mnoho firem, zejména těch větších, přitom využívá kombinace obou řešení.

SIEM systémy v reálném čase sbírají data napříč celým IT stackem, korelují je a identifikují podezřelé vzorce. Jejich hlavním úkolem je převádět syrové logy na smysluplné bezpečnostní alerty. Jakmile SIEM identifikuje a ohodnotí alert, předává jej do SOAR, který se postará o reakci.

Společně tak SIEM a SOAR uzavírají celý cyklus od detekce po reakci, a to bez zahlcení analytiků a zbytečných prodlev.

Ať už začnete s jedním nástrojem, nebo nasadíte oba, to správné řešení závisí na vašem prostředí, objemu alertů a vyspělosti vašeho bezpečnostního týmu.Pokud se chcete dozvědět více o odhlečené SIEM platformě, kterou lze zároveň jednoduše integrovat se systémy typu SOAR, rezervujte si ukázku Logmanageru s naším produktovým specialistou nebo si projděte interaktivní demo produktu.