SOAR是什么
SOAR(security orchestration, automation and response)是一组兼容的软件程序,使组织能够收集有关安全威胁的数据并在很少或无需人工协助的情况下响应安全事件。SOAR平台的目标是提高物理和数字安全运营的效率。它包括安全编排、安全自动化和安全响应三个主要组件。安全编排通过连接和集成不同的内部和外部工具来实现,安全自动化利用收集的数据和警报来自动执行任务,安全响应提供了单一视图以规划、管理、监控和报告响应活动。SOAR平台的好处包括更快的事件检测和响应时间、更好的威胁背景、简化管理、可扩展性、提高分析师效率、简化运营、报告和协作以及降低成本。SOAR也面临一些挑战,如未能纠正更广泛的安全策略、合并的期望、集成复杂性、部署和管理复杂性以及缺乏或有限的指标。SOAR具有多种功能和用例,包括支持漏洞和威胁管理、安全事件响应和安全运营自动化。SOAR与SIEM(安全信息和事件管理)平台有所不同,但它们可以相互补充。SOAR供应商包括Anomali ThreatStream、D3 Security、Fortinet FortiSOAR等。