Wir betreiben sowohl ein SIEM als auch ein SOAR. Was macht jedes davon, und wie arbeiten sie zusammen?
Kurzantwort
Ein SIEM nimmt Logs aus dem gesamten Bestand auf und korreliert sie, um Alerts zu erzeugen — es ist Ihre Detektions- und Suchschicht. Ein SOAR sitzt nachgelagert und automatisiert die Reaktion: Es führt Playbooks aus, reichert Alerts über Integrationen an und übernimmt das Case-Management, damit Analysten weniger Zeit für repetitive Schritte aufwenden.
SIEM und SOAR werden oft in einem Atemzug genannt, weil sie in der SOC-Pipeline nebeneinanderstehen, aber sie lösen unterschiedliche Probleme. Sie zu verwechseln ist ein häufiger Junior-Fehler, daher fragen Interviewer das, um zu prüfen, ob Sie verstehen, wo die Detektion endet und die Reaktion beginnt.
SIEM: Detektion und Sichtbarkeit
Eine Security-Information-and-Event-Management-Plattform nimmt Logs und Telemetrie aus vielen Quellen auf — Firewalls, Endpoints, Identitätsanbieter, Cloud, Anwendungen —, normalisiert sie in ein gemeinsames Schema und erlaubt Ihnen, über alle hinweg zu suchen und zu korrelieren. Ihre Kernaufgaben sind Aggregation, Korrelation, Alerting und Aufbewahrung für Compliance und Untersuchung. Wenn eine Regel zutrifft (etwa viele fehlgeschlagene Logins gefolgt von einem Erfolg), löst das SIEM einen Alert aus.
SOAR: Orchestrierung und Automatisierung
Eine Security-Orchestration-Automation-and-Response-Plattform setzt dort an, wo das SIEM aufhört. Sie verbindet sich über Integrationen mit Ihren anderen Tools und führt Playbooks aus — kodifizierte, wiederholbare Reaktionsschritte. Ein Playbook könnte einen Alert automatisch mit Threat-Intel-Abfragen anreichern, eine IP geolokalisieren, das EDR nach zugehörigen Prozessen abfragen, einen Fall eröffnen und sogar einen Host eindämmen, alles ohne dass ein Analyst Befehle tippt.
Wie sie zusammenarbeiten
Das SIEM sagt „etwas ist passiert"; das SOAR hilft Ihnen, schnell zu entscheiden und zu handeln. Zusammen verkürzen sie die mittlere Reaktionszeit, indem sie repetitive manuelle Schritte entfernen und sicherstellen, dass jeder Alert konsistent bearbeitet wird.
Warum das wichtig ist
Interviewer möchten hören, dass Detektion und Reaktion eigenständige Phasen sind. Dies zu wissen zeigt, dass Sie den SOC-Workflow von Ende zu Ende verstehen und dass Automatisierung Analysten erweitert, statt ihr Urteilsvermögen bei folgenschweren Entscheidungen zu ersetzen.
Wahrscheinliche Anschlussfragen
- Nennen Sie ein Beispiel für ein SOAR-Playbook, das Sie zuerst automatisieren würden.
- Welche Arten von Entscheidungen sollten niemals vollständig automatisiert werden?
- Wie hilft SOAR bei der mittleren Reaktionszeit (MTTR)?