«SIEM» означає злиття функцій керування інформацією про безпеку (SIM), тобто процесу збору, моніторингу й аналізу даних із автоматично створених комп’ютерних журналів (звітів), і керування подіями безпеки (SEM), процесу централізація даних комп’ютерного журналу з кількох джерел (систем, кінцевих точок, програм і служб) для покращення виявлення інцидентів безпеки та управління цими подіями через формалізований процес реагування.
Еволюція SIEM шляхом додавання автоматизації інцидентів породила новий клас систем, які SIEM фактично переросла. Вони назвали їх SOAR. Залежно від того, що лежить в основі цієї системи, вона може мати різні назви: операції безпеки, аналітика та звітність (SOAR) або оркестровка безпеки та автоматичне реагування. SOAR — це спеціальний інструмент для узагальнення інформації про загрози безпеці, яка надходить з різних джерел, і подальшого аналізу цих даних.
Перевагою SOAR є повна автоматизація процесів управління інформаційною безпекою: починаючи від встановлення пріоритетів і закінчуючи реагуванням на інциденти. На відміну від аналізу журналів, наданого SIEM, рішення SOAR містять цілий набір різних технологій, які підтримують діяльність сервісних центрів і служб моніторингу. Використання SOAR дозволяє інтегрувати інформацію, що надходить з різних джерел про загрози системі безпеки. Це досягається за допомогою трьох основних модулів.
.svg)
.svg)
.svg)
.svg)
.svg)
