SIEMとSOCの違いは何ですか?
SIEM(セキュリティ情報およびイベント管理)とSOC(セキュリティオペレーションセンター)の違いは何ですか?
彼らは一緒に働きますか?独立している場合、いつ使用するのですか?
大まかに言うと、次のことに注意してください。
- SIEM(セキュリティ情報とイベント管理)は特定の種類のテクノロジーであり、(セットアップルールと相関インテリジェンスを通じて疑わしい/不正なアクティビティを示すことにより)セキュリティコンテキストでネットワークの可視性を提供し、セキュリティアナリストが疑わしい脅威に対処できるようにします。
- SOC(セキュリティオペレーションセンター)は、ネットワークの保護監視、インシデントへの対応、既知/未知の脅威の調査/積極的な検索に関わる人、プロセス、およびテクノロジを網羅しています。
セキュリティ情報およびイベント管理(SIEM)は、トリガーされたときに人間の分析者が分析するイベントを作成する一連の相関ルールに対してテストされるログを収集および正規化するツールです。
セキュリティオペレーションセンター(SOC)は、さまざまなツールを使用してセキュリティの問題に対処するセキュリティアナリスト(および関連する職務)の一元化されたユニットです。セキュリティアナリストが使用する主なツールの1つはSIEMです。これは、SIEMが人間のアナリストにセキュリティインシデントを「表面化」するためです。
通常、SIEMがないとSOCはありません。しかし、成熟したセキュリティ要素を持つITチームにはSIEM(または類似の何か)があるかもしれません。ただし、SIEM機能がサードパーティにアウトソーシングされるか、ロールアップされることは(私の経験では)多くの場合ですが専用のSOC。
また、SIEMSはSOCと同様のサイバーインシデントレスポンスチーム(CIRT)で使用されていますが、情報共有、インテリジェンス、より深いインシデント対策などの他の領域に機能を拡張している場合もあります。
SOCがショップである場合、セキュリティアナリストがレジを操作する小売支援者となり、SIEMがレジとなります。
NMSは、SIEMソリューションがSOCの管理ツールであるのと同じように、NOCの管理ツールです。 SIEMは、SOCにセキュリティの追加レイヤーを提供し、組織が高度な脅威検出およびインシデントレスポンス機能を有効にするのに役立ちます。
SOCは、人、手順、セキュリティソフトウェア、ファイアウォール、IDS/IPS、プロキシサーバーなどのセキュリティデバイスなど、企業のIT環境内のセキュリティ監視に使用されるすべてのエンティティで構成されます。