安全运营领域 SOAR 技术，被那些需要分析大量警报的网络安全部门视为救星。

但不幸的是，购买 SOAR 技术并不能 “药到病除” 解决警报疲劳的问题。为了能够将警报连接到自动剧本（Playbook），安全人员需要在 SIEM 中逐个查看用例，然后才能有效地将其与剧本关联（这需要成熟的用例生命周期管理和用例框架）。为了实现最佳的安全自动化，你还需要考虑其他几个上下文变量。

在上马 SOAR 项目之前，用户应当了解 SOAR 与传统安全方案的重要区别：

1.首先要将 SIEM 用例类别、用例或 SIEM 规则映射到事件类别，然后再将这些类别映射到剧本。

2.三种剧本：

a.手动剧本（一系列手动任务）

b.半自动剧本（自动和手动子任务的混合）

c.全自动剧本（完全自动化）

3.四种类型的自动化：

a.防御性自动化（任何试图防止威胁或风险的措施）

b.取证自动化（任何试图获取其他证据的措施）

c.进攻性自动化（任何主动调查资产的主动行动）

d.欺骗自动化（用于获取或调试欺骗工具的任何工作）

4.三种不同的操作类别：

a.丰富（添加其他 CMDB、CTI 或环境数据）

b.升级（电子邮件、工单升级、chatops 聊天运营通信）

c.缓解（更改设备配置）

下图中，我们可以看到 SIEM 与 SOAR 的重要区别和关联：

根据上面这个 SIEM-SOC 自动化架构，我们可以得出成功部署 SOAR 解决方案的基本要求和关键要素：

1.成功的 SOAR 自动化架构需要良好的基础 IT 组织。

a.更新且准确的 CMDB

b.网络层次结构及其重要性

c.数据分类

d.应用重要性

e.用户关键性

f.SLA 票证分类

g.关键应用程序列表

h.清晰的安全事件故障单类别

i.安全事件管理流程

2.SOAR 自动化的关键成功因素在于 SIEM 集成、用例生命周期管理和用例框架。

a.可与您的 SIEM 解决方案紧密集成的 SOAR 解决方案

i.从 SIEM 的警报中提取其他相关日志；

ii.将警报中的每个字段映射到 SOAR 案例字段；

iii.能够将 SIEM 严重性级别映射到 SOAR 严重性级别；

iv.在升级和评估 SOAR 解决方案上的 SLA 性能时，SIEM 警报时间戳变得尤为重要，请确保这些时间戳保持不变。

b.成熟的用例生命周期管理流程

i.在用例和日志源导入优先级列表旁可附加其他 “自动化集成优先级列表”。

c.具有清晰结构的用例框架

i.支持映射用例类别级别、用例级别或特定于规则级别的剧本的命名约定

ii.具备清晰的用例类别，以将整个类别归类为剧本，以实现高效自动化。

以下示例中，SPEED 用例框架的用例类别和命名约定与 SIEM—SOAR 用例流程进行了映射，以帮助我们深入了解两个系统之间的相互依赖性。

实施 SOAR 解决方案依赖于现有 IT 组织中的一系列成熟服务，而 SOAR 自动化项目的成功将在很大程度上取决于这些成熟度。具体来说，对于已经拥有 SIEM 的企业来说，在上马 SOAR 解决方案之前，需要确保 SIEM 的集成、用例生命周期管理和用例框架完全成熟。

通常很难找到一个组织，能够做到全方位的完全成熟，但有一点极为重要，那就是能够执行自动 API 调用并获取自动剧本所需的所有信息。

企业安全成熟度与 SOAR 之间的鸿沟，催生了新一代的云原生 SIEM 和 SOAR 解决方案，这些解决方案基于以 API 为中心的云体系结构，可以较为轻松地部署、升级和缓解企业环境中的安全问题。SIEM 与 SOAR 目前面临的问题，也为网络安全智能方案（机器学习、自动化运营）提供了成长空间。因此，云计算和 AI，将是 SIEM 和 SOAR 在安全运营环境中并存进化的两条主要增长路径。