LogRhythm將其下一代SIEM加入SOAR功能
責編:gltian |2018-11-06 14:08:15有些公司企業可能會認為安全信息與事件管理(SIEM)技術只與安全日志收集有關,但這不是 LogRhythm NextGen SIEM 系統的全部。
近日,LogRhythm發布了其 NextGen SIEM 7.4 版,加入了先進的安全編排、自動化與響應(SOAR)功能。本次更新的幾個新功能中,案例戰術手冊用于組織安全事件的工作流。自動化響應動作和安全運營中心(SOC)指標也是新添加到該平臺中的。
LogRhythm聯合創始人兼首席產品與技術官 Chris Petersen 稱:7.4版本中,我們深化了SOAR功能集,引入了更正式的程序性戰術手冊以及特定的任務集和通用問題的處理流程,比如勒索軟件和網絡釣魚問題。這些戰術手冊可應用到調查中,隨后所有的流程、任務以及隨之而來的截止期都能應用該手冊,以便確保安全運營團隊能執行高度一致的響應。
LogRhythm 7.4 更新還往平臺中集成了額外的自動化響應動作。LogRhythm有個名為智能響應( Smart Response )的框架,能啟動不同插件提供緩解與響應動作。插件包括威脅情報查找和緩解操作,比如禁用賬戶、隔離終端和終止會話等。
Petersen提到,他們一直在往該框架中添加新的插件,以便能夠集成各式各樣的第三方技術。他們的庫中大約添加了45個額外的自動化動作。
新更新中指標也得到了有力提升。Petersen表示,平臺如今有了更深層次的指標供公司企業用以衡量分揀通過安全警報的用時,以及執行威脅調查需要花費多少時間。
我們的目標是為CISO或SOC經理提供安全運營團隊運作情況的詳盡信息,了解團隊在檢測及響應威脅方面的水平。
Thoma Bravo
LogRhythm于今年7月2日被私人股本公司 Thoma Bravo 收購,自此之后的連番大動作標志著今年注定是LogRhythm極不平凡的一年。
LogRhythm的日常運營都發生了很大變化。Thoma Bravo 團隊帶來了管理經驗,有助于加速增長LogRhythm的業務。
Thoma Bravo 為管理團隊引入了大量專業知識,幫助我們繼續實現業務目標和公司使命——下一代SIEM的平臺領頭羊。
SIEM vs SOAR
SIEM市場曾經只關心日志文件,對SIEM的傳統看法非常狹隘,并不能真實反映公司企業的需求。
SIEM我首要和基本功能就是驅動對威脅的檢測與響應。SIEM本質使命是關聯數據、識別正確的警報并讓團隊加以響應。
現代環境下,想讓團隊能夠更快響應,需要編排和自動化盡可能多的動作。在SIEM中集成進SOAR功能是SIEM應提供的演進。
SOAR作為覆蓋在遺留SIEM上的獨立技術面臨的挑戰之一,是需要通過API將兩種不同軟件集成到一起,還需要形成某種形式的集成工作流。
維護兩個不同技術而不是將SOAR集成進SIEM,會拖慢進程,引入不必要的復雜度。LogRhythm模式則有統一的用戶界面,可使用戶通過關聯和分析穿過SIEM組件,直接進入到緩解執行動作。
不用在兩種不同軟件之間來回切換以執行本應聯動的工作流。基本上,我們想達到的目的就是加快吞吐和加速SOC流程。
在未來,LogRhythm還將應用機器學習功能為平臺增添行為和預測分析。
Petersen表示,明年用戶將看到他們發布更多SOAR和UEBA產品。他們將著眼更注重網絡檢測方面事務的新產品。