SOAR（security orchestration，automation and response），由Gartner于2015年提出，最初的含義是安全運營、分析與報告。2017年，Gartner又重新定義了SOAR的能力，包括安全編排、安全自動化和安全響應。

Gartner認為，SOAR是一組兼容軟件程序的堆棧，用以收集對網絡安全造成威脅的數據，并對安全事件做出響應。用戶使用SOAR平臺的目的是提高物理系統及數字安全運營的效率。

SOAR的三大功能

安全編排

安全編排是通過工具將不同系統整合，如漏洞掃描、終端防護、行為分析、防火墻、IDS/IPS或外部威脅情報源等，進行自定義集成和接口對接，從而提升數據的收集能力。

通過這些來源收集的數據越多，偵測威脅的機會就越大，同時也能獲得更完整的背景信息，并改善協作。

安全自動化

安全自動化通過分析從安全編排中收集的數據及告警，創建自動化流程來替代人工流程。安全運營平臺以前由分析人員執行的任務，比如漏洞掃描、日志分析和審計能力，現在能夠通過SOAR的安全自動化功能實現標準化并且自動執行。

安全響應

安全響應為分析人員提供單一視圖，這個單一視圖可以促進安全、網絡和系統之間的協作及情報共享。安全人員在檢測到威脅后，能夠規劃、管理、監控和報告已采取的行動。

SOAR的核心優勢

SOAR是基于系統執行安全操作的能力，能夠檢測、調查和消除網絡威脅，無需人工干預。SOAR的自動化編排與響應能力能夠實現以下功能：

- 檢測用戶環境中的威脅；

- 對潛在威脅進行分類；

- 確定是否對事件采取行動；

- 控制并解決問題。

SOAR的這些功能無需人工干預即可實現。安全分析人員不需要按照步驟、說明和決策流程來確定事件是否是合法事件；重復、耗時的操作可以通過SOAR的自動編排與響應功能完成，分析人員可以專注于更重要、增值的工作。

安數云的DCS-SOAR平臺

面對海量數據，如何進行精準高效的安全運營，是當前各行業用戶重點關注的問題。安數云作為國內專業的云安全整體解決方案及服務提供商，敏銳把握用戶需求，推出安數云DCS-SOAR（安全編排自動化響應）平臺，通過充分應用SOAR的各項安全能力，為用戶提供更高效的智能安全運營管理服務。

安數云認為，業內SOAR平臺主要分為三個類型：集成型、獨立型、混合型。安數云以混合型切入，安數云DCS-SOAR平臺通過資產、事件、漏洞、定時四個維度開展安全編排與自動響應功能，通過組織收集多種來源的數據，并根據縱深防御原則，應用工作流來拉通各種流程和規程。

以資產類響應為例，用戶上線資產后，通過資產探測觸發劇本，劇本自動與資產管理模塊聯動、根據資產類型進行分類入庫及漏洞掃描、期間通過AI模型引擎進行數據處理及搜集，將需要防護的資產生成對應策略，并添加至SDN服務鏈進行防護，整套流程全部通過劇本編排做到自動化響應。

除此以外，AI引擎還會提供包括事件管理、告警統計、威脅情報管理、自動巡檢，以及功能分析等多種能力。

安數云DCS-SOAR平臺致力于解決用戶云上資產的安全運營問題，面對用戶防護設備繁雜臃腫、安全事件難以及時響應、運營成本逐年上升的困境，安數云DCS-SOAR平臺以安全大腦驅動為核心，建立運營體系，通過OneStep框架實現第三方安全產品的“無門檻接入、低門檻納管”；通過劇本編排實現自動化快速響應以及網絡調度。

安數云DCS-SOAR平臺以安全運營為導向，通過態勢感知+SOAR+云安全管理等各項功能，協助用戶實現低成本的資產管控以及安全運營，達到可視、可用、可管、可控。

得力于DCS-AI安全大腦，安數云DCS-SOAR平臺結合多源異構日志采集處理、大數據檢索存儲，對安全事件應急響應速度提升1200%，對于0day漏洞，也能夠快速從情報庫中檢索，第一時間快速篩查并隔離風險資產。

SOAR平臺是網絡安全運營趨勢

在不斷增長且日益數字化的世界中，網絡安全面臨諸多挑戰。威脅變得越來越頻繁和復雜，企業需要制定一種高效且有效的安全運營策略，應對安全挑戰。SOAR成為安全運營團隊管理、分析和應對告警及威脅的新方式。

威脅和告警數量不斷增長，資源又不足以應對所有問題，在日常運營中，分析人員需要快速決定哪些告警需要處理，哪些可以忽略，但由于超負荷工作，很可能錯過真正的威脅，在應對威脅和惡意攻擊時出現誤判，最終使網絡及數據產生安全泄露，造成無可挽回的損失。

因此，系統化安全編排并通過自動化響應，對于處理威脅告警的過程是至關重要的。通過過濾掉占用過多精力和資源的單調任務，安全運營團隊在處理和調查事件時更加有效和高效，從而能夠極大地改善整個網絡的安全狀況。

審核編輯 黃宇