在当今的安全运营中，我们看到网络攻击的数量和复杂性都在增加。在一个典型的企业中，就在十年前，我们每天要谈论 10 到 15 个警报。如今，这一数字已上升到 300 左右。那时，也许可以使用更少的工具和更少的劳动力来检测和应对网络威胁。但是今天，情况已不再如此。

许多 SOC（安全运营中心）投资了 50 多种不同且相互分离的安全工具，以增强其防御能力。这就带来了填补空缺来管理所有这些工具并协调所有工具，技术和人员以执行安全操作的挑战。这就是 SOAR 发挥作用的地方。

什么是 SOAR？

SOAR（由 Gartner 在 2017 年创造的一个术语）代表安全协调，自动化和响应。SOAR 工具旨在丰富调查，自动化检测和响应并增加与业务流程的协作。

SOAR 的好处

• 自动化 SOC：任何任务都可以使用 SOAR 自动化。使用预构建的即用型游戏簿，您可以创建自己的工作流程并自动执行它们。您可以在需要时将分析人员的决策添加到循环中。使用 SOAR 自动执行耗时且重复的任务，使分析师有更多时间专注于需要人工干预的案例。

• 人机结合：SOAR 将人员，工具和流程聚集在一起，从而消除或最小化了在工具之间进行切换，通知同事或部门并等待响应以及相应地执行流程所花费的时间和精力。SOAR 充当安全操作的中心枢纽；它协调和自动化安全操作中的所有单个元素。

• 开箱即用的集成：与第三方的各种插件集成，您不仅可以管理环境中的所有安全工具，还可以通过集中式案例管理来管理所有与 IT 和非 IT 相关的工具。

• 增强生产力：可以通过消除重复的安全活动并增加协作和编排来自动提高运营效率和分析师生产力。

SOAR 是否应该保持独立？

众所周知，Micro Focus 在 2020 年 7 月收购了 ATAR Labs（一家 SOAR 供应商）。这不是我们对 SOAR 的首次收购，我不相信这将是最后一次收购。正如 Gartner 的《安全业务流程自动化和响应解决方案市场指南》中所强调的那样，网络安全供应商采用 SOAR 解决方案的原因有很多。SOAR 具有强大的自动化和编排功能，因此是安全操作的一项重要功能。SOAR 解决方案在减少曝光时间，提高响应速度和运营效率以及为案件管理提供中心枢纽方面发挥着至关重要的作用。

从数据收集到响应，安全运营需要建立强大的人机团队，以快速，准确的方式利用对网络威胁的检测和响应。在开放数据平台上跨组织收集，记录，调查和分发安全数据，并采用多层安全分析，可通过实时 SIEM 相关性，行为分析（UEBA），高级威胁搜寻，和自动响应。我相信; 作为解决方案的一部分，每个分析平台都应包含一定水平的自动化和编排功能。

转载声明

本文翻译自：SOAR as a Critical Capability for Security Operations，转载链接：https://community.microfocus.com/t5/Security-Blog/SOAR-as-a-Critical-Capability-for-Security-Operations/ba-p/2856473