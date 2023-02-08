SOAR，即安全编排、自动化和响应，是一种软件解决方案，它使安全团队能够集成和协调单独的安全工具、自动执行重复性任务并简化事件和威胁响应工作流程。
在大型组织中，安全运营中心 (SOC) 依赖多种工具来跟踪和响应网络威胁，此类应对通常是手动的。这种对威胁的手动调查会导致总体威胁响应速度变慢。
SOAR 平台为 SOC 提供了一个中央控制台，SOC 可以将这些工具集成到优化的威胁响应工作流程中，并自动执行这些工作流程中低级别的重复性任务。此控制台还允许 SOC 在一个中心位置管理这些工具生成的所有安全警报。
通过简化警报分类并确保不同的安全工具协同工作，SOAR 可帮助 SOC 缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)，改善整体安全状况。更快地检测和响应安全威胁可以减轻网络攻击的影响。根据 IBM 最新的数据泄露成本报告，数据泄露生命周期越短，泄露成本就越低。在不到 200 天的时间内解决的破坏事件平均使公司少损失 102 万美元，两者相差 23%。
SOAR 科技是对早期三种安全工具的融合。Gartner 于 2015 年首次提出了“SOAR”一词。SOAR 平台将安全事件响应平台、安全编排和自动化平台以及威胁情报平台的功能结合在一个产品中。
为了解现代 SOAR 解决方案的工作原理，可以按核心功能将其分解：安全编排、安全自动化和事件响应。
“安全编排”是指 SOAR 平台如何连接和协调公司安全系统中的硬件和软件工具。
SOC 使用各种解决方案来监控和响应威胁，例如防火墙、威胁情报源和端点保护工具。即使是简单的安全流程也可能涉及多种工具。例如，调查网络钓鱼电子邮件的安全分析师可能需要安全的邮件网关、威胁情报平台和防病毒软件来识别、理解和化解威胁。这些工具通常来自不同的供应商，可能不容易集成，因此分析师工作时必须在工具之间手动切换。
通过 SOAR，SOC 可以将这些工具统一到连贯、可重复的安全运营 (SecOps) 工作流中。SOAR 使用应用程序编程接口 (API)、预构建插件和自定义整合来连接安全工具（和一些非安全工具）。一旦整合了这些工具，SOC 就可以依照运行手册来协调他们的活动。
运行手册是流程图，安全分析师可以使用它来概括标准安全流程（如威胁检测、调查和响应）的步骤。运行手册可以跨越多个工具和应用程序。它们可以是完全自动化或完全手动的，也可以是自动和手动任务的组合。
SOAR 安全解决方案可以自动执行低级别、耗时的重复性任务，例如打开和关闭支持凭单、事件扩充和警报优先级划分。SOAR 还可以触发集成安全工具的自动操作。这意味着安全分析师可以使用运行手册工作流程将多个工具链接在一起，并实现更复杂的安全运营自动化。
例如，考虑 SOAR 平台如何自动调查受入侵的笔记本电脑。出现问题的第一个迹象来自端点检测和响应 (EDR) 解决方案，该解决方案可检测笔记本电脑上的可疑活动。EDR 向 SOAR 发送警报，这会触发 SOAR 执行预定义的运行手册。首先，SOAR 为这起事件开立一份凭单。它使用来自综合威胁情报源和其他安全工具的数据来丰富警报。然后，SOAR 执行自动响应，例如触发网络检测和响应 (NDR) 工具来隔离端点或提示防病毒软件查找并引爆恶意软件。最后，SOAR 将凭单发送给安全分析师，由其决定事件是已解决，还是需要人工干预。
一些 SOAR 包含人工智能 (AI) 和机器学习，它们分析来自安全工具的数据并推荐未来处理威胁的方法。
SOAR 的编排和自动化功能使其能够充当安全事件响应 (IR) 的中央控制台。IBM 的《数据泄露成本报告》发现同时拥有 IR 团队和 IR 计划测试的组织识别泄露的速度比两者都没有的组织快 54 天。
安全分析师可以使用 SOAR 来调查和解决事件，而无需在多个工具之间移动。与威胁情报平台类似，SOAR 在中央仪表板中汇总来自外部源和集成安全工具的指标和警报。分析人员可以关联不同来源的数据，过滤掉误报、确定警报的优先级并识别他们要处理的特定威胁。然后分析师可以通过触发适当的运行手册来做出响应。
SOC 还可以使用 SOAR 工具执行事件后审计和更主动的安全流程。SOAR 仪表板可以帮助安全团队了解特定威胁如何破坏网络以及如何预防未来出现类似威胁。同样，安全团队可以使用 SOAR 数据来识别未被注意的持续威胁，并将威胁搜寻工作集中在正确的方向上。
通过集成安全工具和自动化任务，SOAR 平台可以简化常见的安全工作流程，如案例管理、漏洞管理和事件响应。这种精简的优点包括：
SOC 可能每天必须处理数百或数千个安全警报。这可能会导致警报疲劳，并且分析师可能会错过威胁活动的重要迹象。SOAR 可以通过集中安全数据、扩充事件和自动响应来使警报更易于管理。因此，SOC 可以处理更多警报，同时缩短响应时间。
SOC 可以使用 SOAR 运行手册为常见威胁定义标准、可扩展的事件响应工作流。安全分析师可以触发适当的运行手册进行有效修复，而不是逐案处理威胁。
SOC 可以使用 SOAR 仪表板来深入了解其网络及其面临的威胁。这些信息可以帮助 SOC 发现误报、更好地确定警报的优先级并选择正确的响应流程。
SOAR 集中了安全数据和事件响应流程，因此分析师可以共同进行调查。SOAR 还可以让 SoC 与外部各方共享安全指标，例如人力资源、法律和执法部门。
SOAR、SIEM 和 XDR 工具共享一些核心功能，但每种工具都有自己独特的功能和用例。
安全信息和事件管理 (SIEM) 解决方案从内部安全工具收集信息，将其聚合到中央日志中，并标记异常情况。SIEM 主要用于记录和管理大量安全事件数据。
SIEM 科技最初是作为合规报告工具出现的。当 SoC 意识到 SIEM 数据可以为网络安全运营提供信息时，他们采用了 SIEM。SOAR 解决方案的出现是为了增加大多数标准 SIEM 所缺乏的以安全为中心的功能，例如编排、自动化和控制台功能。
扩展检测和响应 (XDR) 解决方案可收集和分析来自端点、网络和云的安全数据。与 SOAR 类似，它们可以自动响应安全事件。但是，XDR 能够实现比 SOAR 更复杂、更全面的事件响应自动化。XDR 还可以简化安全整合，通常比 SOAR 整合需要更少的专业知识或费用。一些 XDR 是预先整合的单一供应商解决方案，而另一些则可以连接来自多个供应商的安全工具。XDR 通常用于实时威胁检测、事件分类和自动威胁搜寻。
大公司的 SecOps 团队通常会同时使用所有这些工具。然而提供商正在模糊它们之间的界限，推出可以响应威胁的 SIEM 解决方案，以及具有类似 SIEM 的数据记录功能的 XDR。一些安全专家认为，XDR 有一天可能会吸收其他工具，就像 SOAR 曾经合并其前身一样。
