SOAR vs. SIEM: Security Orchestration für flexiblen Schutz

    Sarah Kolberg | Juni 7, 2023

    Darstellung von Account-Sicherung und Alarmierung bei Cyber-Attacke

    Die Abkürzung „SOAR“ steht für Security Orchestration Automation and Response. Security Orchestration, zu Deutsch Sicherheitsorchestrierung, beschreibt die Kombination verschiedener kompatibler Sicherheitsprodukte. Diese sind verzahnt und haben Zugriff auf die Daten der gesamten Produktpalette. Man spricht in diesem Zusammenhang häufig von SOAR-Plattformen. Ein weiteres Softwareprodukt, das von SOAR abzugrenzen ist, heißt SIEM. Erfahren Sie, was SIEM und SOAR unterscheidet, inwiefern beide Systeme immer weiter zusammenwachsen und wie die Lösung macmon NAC das Beste aus beiden vereint.

    Was ist SIEM?

    SIEM steht für Security Information and Event Management. Bei einer SIEM-Lösung erfolgt eine Datensammlung in Echtzeit aus verschiedenen Quellen. Die Informationen werden in einer zentralen Ansicht gesammelt und aufbereitet. Ein SIEM- System arbeitet mit einer hierarchischen Sicherheitsarchitektur. Mithilfe von regelbasierten Modellen oder statistischen Korrelationen wird erkannt, falls Ereignisse von sonstigen Trends oder Mustern abweichen. Diese sicherheitsrelevanten Ereignisse, die im Netzwerk, bei Endgeräten oder verbundenen Sicherheitslösungen wie Firewalls auftreten, werden protokolliert.

    Beim Erkennen einer Abweichung können zusätzliche Informationen zum Nutzungsverhalten festgehalten oder ein Meldesystem ausgelöst werden.

    Was ist SOAR?

    SOAR steht für Security Orchestration Automation and ResponseEin grundlegender Bestandteil von SOAR ist die Sicherheitsorchestrierung. Im Sinnbild des Orchesters arbeiten verschiedene kompatible Sicherheitsprogramme zusammen. Alle Tools können auf die Daten der anderen Sicherheitsprodukte zugreifen.

    So ergeben sich statt Symphonien Synergien in Form eines breiteren Funktionsumfangs, der die Einzelleistung der jeweiligen Sicherheitsprodukte übersteigt. Die Lösungen profitieren voneinander und können so verschiedenste Aufgaben erfüllen und Workflows automatisieren. Die Datenauswertung wird genutzt, um ohne menschliches Eingreifen Sicherheitsbedrohungen zu erkennen und auf diese zu reagieren.

    Abgrenzung von SIEM und SOAR

    Cartoon-Dirigetin auf blauem Hintergrund als Symbol für Sicherheitsorchestrierung

    Neben der gemeinsamen Informationssammlung werden auf SOAR-Plattformen verschiedene Sicherheitstools integriert. Die Kooperation der Produkte erfolgt, anders als bei SIEM Security, nicht hierarchisch. Alle Lösungen können auf sämtliche Daten zugreifen und arbeiten parallel.

    So ergibt sich ein maximaler Mehrwert und sogar zusätzliche Funktionalitäten, die sich aus der Zusammenarbeit der Produkte ergeben. An SIEM-Systeme können ebenfalls weitere Sicherheitsprodukte angebunden werden. Diese Entwicklung wird sich in Zukunft verstärken, da mit dem technischen Fortschritt auch neue Anforderungen an die Cyber Security entstehen.

    Die Anbindung weiterführender Sicherheitslösungen ist ein notwendiger Erfolgsfaktor, um flexibel auf neue Bedrohungen zu reagieren und die Cyber Security stetig ausbauen zu können. Es zeigt sich daher der Trend, dass mehr und mehr auf SOAR-Systeme gesetzt oder SIEM durch SOAR erweitert wird. In Zukunft werden sich beide Sicherheitsansätze kaum trennscharf unterscheiden lassen und immer mehr zusammenwachsen.

    macmon NAC: Das Beste aus SIEM und SOAR

    macmon secure bietet mit macmon NAC ein Produkt für die erweiterte Netzwerkszugangskontrolle. Die Network Access Control von macmon zeigt dabei sowohl Eigenschaften von SIEM als auch SOAR.

    Die übersichtliche Datenaufbereitung und Automatisierung nach Regelwerken trägt zur Entlastung der IT-Sicherheitsteams bei. Statt Zeit aufzuwenden, um auf jede Meldung händisch zu reagieren, können sich die Mitarbeitenden um strategische Entscheidungen für die gesamte Sicherheit des Unternehmens kümmern und mehr Zeit in Analysen und das Schwachstellenmanagement investieren.

    Die Kombination beider Ansätze ermöglicht ein flexibles Wachstum der Sicherheitsarchitektur, da je nach Bedarf weitere Sicherheitsprodukte angebunden werden können.

    SIEM-Eigenschaften von macmon NAC

    • Datenübersicht und Reportings in einem zentralen Graphic User Interface (GUI)
    • Echtzeitüberwachung des gesamten Netzwerks
    • Historische Übersicht der Netzwerkereignisse und Zugriffe (Past Viewer)
    • Meldesystem bei bestimmten Events im Netzwerk (z.B. Mitarbeiter zieht Arbeitsplatz um, ein fremdes Endgerät versucht Zugriff ins Netzwerk zu erlangen)
    • Nutzer-, Endgeräte- und Netzwerkverwaltung nach Regelwerk
    • Automatisierte Abwehr von Bedrohungen nach bestimmten Vorgaben (z.B. Quarantäne von Endgeräten bei verdächtigen Netzwerkbewegungen im Zusammenspiel mit Drittanbietern wie Greenbone, Erkennen von ARP/MAC Spoofing)

    SOAR-Eigenschaften von macmon NAC

    • Network Security Orchestration – Kombination verschiedener Sicherheitsprodukte insbesondere für die Netzwerksicherheit
    • Anbindung von Sicherheitsprodukten von Drittanbietern (Technologiepartner) über Rest-API
    • Gemeinsame Datennutzung
    • Flexible Anpassung von macmon NAC auf Sicherheitsbedürfnisse des jeweiligen Unternehmens in Kombination mit Drittanbietern (z.B. automatisches Erkennen von Phishing-Inhalten, industriegerechte Firewalls, fortgeschrittene Endpoint Security)
    • Compliance-Management der Endgeräte

    Empfohlene Artikel

    • 31.08.2023 | Sarah Kolberg

      Die Cyber-Resilienz im eigenen Unternehmen stärken

      Was bedeutet Cyber-Resilienz? Wie sieht ein solches ganzheitliches Sicherheitskonzept aus? Wie hängt dies mit dem Cyber Resilience Act zusammen? Mehr hier.

      more

    • 25.10.2023 | Sarah Kolberg

      AI in Network Security

      Wie funktioniert AI-based Cyber Security? Warum braucht es KI in der Cyber Security? Wie kann AI Network Security verbessern? Mehr hier.

      more

    • 06.07.2023 | Sarah Kolberg

      Endpoint Security und Benutzerverwaltung mit macmon NAC

      Warum ist Endpoint Management wichtig für die Netzwerksicherheit? Welche Tools & Schnittstellen hält macmon NAC für die Endpoint Security bereit?

      more

    • 21.06.2023 | Sarah Kolberg

      Was bringt VLAN-Management? | VLAN Vorteile Nachteile

      Was ist VLAN? Wie funktioniert VLAN-Management? Lernen Sie mehr über VLAN, die Vorteile und wie Sie VLANs einrichten.

      more

    • 25.09.2023 | Jochen Füllgraf

      Lernen von Endgeräten via macmon NAC Advanced Security

      macmon NAC Advanced Security ermöglicht die Prüfung von Gruppenverhalten von Endgeräten sowie über TLS und SSH eine klare Identifizierung im Netzwerk.

      more

    © macmon secure GmbH