近日，美国、英国、澳大利亚、加拿大等国政府机构联合发布一份安全指南，呼吁各组织优先实施安全信息和事件管理 (SIEM) 和安全编排、自动化和响应 (SOAR) 平台，该指南旨在帮助企业高管和网络安全从业者制定相关系统的采购与部署策略。

这些机构强调， SIEM和SOAR系统可将关键数据集中收集分析，帮助组织检测网络安全事件，并通过实时告警确保应急响应人员获取事件溯源数据。指导文件包含三个核心文档：

实施SIEM和SOAR平台：高管指南—— 该阐述平台价值、实施挑战及高层建议。

实施 SIEM 和 SOAR 平台：技术指南——提供采购、建立和维护平台的操作指引。

SIEM 日志采集优先级指南——详述终端检测、云部署等特定日志源的采集规范。

该安全指南警告称，实施 SIEM 和 SOAR 平台是一个“密集、持续的过程”，需要高技能的人员。

首先第一个主要的挑战是确保 SIEM 仅在发生网络安全事件和事故时发出警报，以防止警报疲劳。这要求网络安全从业人员确定 SIEM 要提取的正确日志数据类型和数量，以及应用于该数据的正确规则和过滤器，指南建议制定一个威胁模型，自定义能够触发与该模型相关警报的感兴趣事件。

SOAR 面临的另一个关键技术挑战是如何确保仅针对实际的网络安全事件采取适当的行动，而不对常规网络采取行动。

应对这些技术挑战需要人员仔细配置 SIEM 和/或 SOAR，以适应其所使用的独特网络和组织。这还在公司内部产生大量成本，包括支付平台许可证费用和雇用具有专业技能的员工。若进行外包，则还需要确保外包供应商能提供7x24小时监控和事件响应服务以及是否受外国数据存储要求的约束。

第三，各组织在做出采购决策时还需要留意不同 SIEM 和 SOAR 产品中潜在的隐性成本。例如，大多数 SIEM 定价模型都是基于 SIEM 摄取的数据量，其中一些会根据预购数量设置采集上限。而对于那些不具备上述特性的产品，如果采集的信息没有得到妥善管理，您的组织应该注意可能会产生非常大的成本。

针对指南中强调的“警报疲劳”和“误报处置”挑战，国内厂商已开发出场景化解决方案。比如某大型金融机构部署雾帜智能HoneyGuide-SOAR后，实现了90%安全事件的自动化处置，每天处理事件量超过10万条。其创新在于将SOAR与员工恶意邮件上报系统对接，开发了“一键处置钓鱼邮件”工具，普通员工上报可疑邮件后，系统自动提取关键信息、联动威胁情报研判、执行阶梯封禁，形成全员参与的防御闭环。

面对高技能人员短缺问题，国内方案强调人机协同的渐进式自动化。微步在线TDP平台集成威胁情报实现99.97%检测准确率，其核心是将商业情报（Commercial TI）与机器学习结合，为每条告警提供攻击上下文，有效解决“脏数据”导致的误报问题。微步在线就强调：“威胁情报要像电力一样赋能检测设备，而非孤立使用。”

参考链接：

https://www.infosecurity-magazine.com/news/governments-prioritize-siem-soar/