Não é fácil de se compreender as diferenças chave quando se está procurando por SOAR ou por SIEM, porque eles possuem de fato muitos pontos em comum. Ferramentas de segurança da informação e de gestão de eventos, os SIEM, são uma forma de centralizar e coletar dados e logs pertinentes de várias fontes, sejam elas de rede, segurança, servidores, aplicações e bancos de dados. Exemplos comuns de fontes incluem firewalls, IPS, antimalware, DLP e soluções de web gateway.

Os dados agregados então são analisados em tempo real pelo SIEM para que se identifiquem riscos potenciais. O SIEM identifica as ameaças ao correlacionar diferentes informações de diferentes fontes. Ele também ranqueia os eventos em ordem de criticidade.

Os gestores de segurança comumente recebem a tarefa de navegar por uma vasta quantidade de informação para remediar a fonte da ameaça em potencial ou simplesmente setar o evento como benigno. Fazer isso ajuda o SIEM a diminuir os falso-positivos, mas consome bastante tempo.

Ao passo em que o SIEM já faz parte da realidade das empresas há alguns anos, o SOAR – Security Orchestration Automation and Response é uma novidade. Quando vemos a diferença entre essas tecnologias, o SIEM agrega dados de segurança de diferentes fontes da infraestrutura, já o SOAR faz isso e vai além.

Por exemplo, o SOAR vai agregar informações de fontes externas, como feeds de inteligência de segurança, para conseguir obter uma visão melhor do cenário de segurança dentro e fora da rede corporativa. O SOAR leva a análise de dados a outros níveis ao criar caminhos de investigação com base nos alertas gerados.

Mais uma vez, ao comparar SOAR e SIEM, o SIEM vai prover apenas o alerta. É responsabilidade do administrador determinar um caminho de investigação. Um SOAR faz a automação do caminho de investigação e reduz o tempo gasto com os alertas de forma significativa. Ele também fornece lições sobre a administração de segurança. Um SOAR bem implementado deve aumentar significativamente a eficiência da equipe de segurança.