SOAR知识积累

什么是SOAR

SOAR(Security Orchestration, Automation, and Response，安全编排、自动化和响应) 

SOAR是一系列技术的合集，它能够帮助企业收集安全运营团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业能够对事件分析与响应流程进行形式化的描述。SOAR是一个将企业众多的安全运营工具集成在一起的平台，采用事件响应预案让众多安全运营工具自动化执行

SIEM和SOAR有什么相同和不同

与新一代SIEM相同的是，SOAR旨在解决传统SIEM所产生告警爆炸以及企业缺乏网络安全专业技能人才的挑战，从而帮助企业有效地部署SIEM。SOAR可以根据事先的预案(Playbook)进行编排和自动化，能够有效地简化安全运营人员的手工作业，消除了MTTR或MTTD循环中的人为错误，减少了单调繁重的威胁分析过程。

与新一代SIEM不同的是，SOAR是一个将企业众多的安全运营工具集成在一起的平台，采用事件响应预案让众多安全运营工具自动化执行，当然也可以通过安全运营人员的单击操作来执行。此外，SOAR还为案例管理提供了一个的专用问题跟踪系统(Issue Tracking System，ITS)以用于编纂安全事件分析和响应的工作流程。 

对比新一代SIEM和SOAR的最佳方法是将SIEM和SOAR分别视作记录系统和行动系统。这样比较并没有消除对SIEM的需求，而新一代SIEM与SOAR结合时，SIEM在减少MTTD和MTTR方面更有效，解决了安全运营人员短缺的挑战，并降低了SOC中常见的告警爆炸问题。