根据 Gartner 的说法，安全编排、自动化和响应 (SOAR) 是一种由安全编排和自动化 (SOA)、事件响应和威胁情报平台 (TIP) 组成的技术。由于其灵活性和适应性，SOAR 可以适应任何组织的安全操作。它旨在简化涉及多个安全流程和团队的事件响应，以修复威胁。

为了提供 SOAR 功能，组织正在建立网络融合中心。通过提供主动和统一的方法，网络融合通过共享威胁情报、SOAR 实施和团队间协作将多个团队聚集在一起。此外，SOAR 还有助于整合情境化的战术、技术、战略和运营威胁情报，以实现快速威胁预测、检测、分析和响应。

要定义 SOAR，重要的是要了解 SOAR 和网络融合的概念是相互交织的，有时在网络安全领域可以互换使用。然而，一个人只有通过另一个人的存在才能获得其全部意义。从本质上讲，网络融合是一个更广泛的概念，其中 SOAR 是其中不可或缺的一部分。

SOAR - 网络融合的一个组成部分

通过将人员、流程和技术聚集在一个地方，网络融合使安全团队能够自动化和协调安全工作流程。迎合网络安全环境的组织正在构建虚拟网络融合中心 (vCFC) ，以提供真正的 SOAR 集成功能，使安全团队能够识别漏洞、定义解决方案并自动执行威胁响应。

无论团队位于何处，vCFC 都以集成和协作的方式结合了用于威胁检测、管理和响应的所有安全功能。这种网络融合驱动的协作使安全团队能够利用 SOAR，使他们能够处理事件案例管理和分类工作，并主动防止恶意攻击。

为了消除响应操作中存在的孤岛，安全团队正在采用基于网络融合的方法采用 SOAR 网络安全解决方案。这使他们能够通过一个共同的平台一起工作，建立共同的目标，并通过威胁情报共享相互帮助，以实现全面的响应。

网络融合中的 SOAR 用例

警报聚合 使用由网络融合支持的 SOAR 平台，安全团队可以聚合和共享来自内部和外部来源的人类可读警报。内部来源包括 SIEM、威胁情报平台 (TIP) 、事件响应平台、内部咨询等，而外部来源包括商业威胁馈送提供商、信息共享社区、暗网、OSINT、监管机构等。这些警报可以共享与分析师一起作为与任何安全威胁相关的预警通知，包括漏洞或恶意软件或不断演变的攻击媒介。

威胁情报生命周期自动化 手动获取指标、规范化数据以及在丰富它们之前检查多个来源是一项费力且耗时的任务。每天，安全团队都会收集成百上千的入侵指标 (IOC)，而手动丰富它们是一项艰巨的任务。借助 SOAR 的功能，可以轻松快速地执行威胁情报摄取、扩充和分析。IOC 可以从多个受信任的威胁数据库中自动摄取、规范化和丰富。它们可以关联起来以发现隐藏的威胁模式。随后，安全团队可以执行自动化的信心评分、行动和情报共享，并确定要采取的进一步行动。

威胁狩猎 威胁狩猎涉及识别恶意域、恶意软件和其他 IOC 等过程。通过利用网络融合的 SOAR 功能，威胁搜寻可以完全自动化，使安全团队能够将注意力转移到其他关键威胁上。这些功能消除了威胁狩猎的障碍，并使安全团队能够在威胁危及组织网络之前识别并确定威胁的优先级。

事件响应 从警报摄取、分析、分类、调查和事件遏制开始的整个事件响应生命周期都可以通过网络融合的 SOAR 功能实现自动化。首先，从内部和外部来源获取安全警报数据，然后进行数据丰富和分析。所有警报都会自动分类并消除误报。随后，快速触发自动响应。这允许安全团队通过利用自动威胁搜寻剧本来调查威胁，并将总体平均检测时间 (MTTD) 和平均响应时间 (MTTR) 减少到几秒钟。

威胁响应 通过网络融合与高级编排和自动化功能的结合，威胁响应可以实现自动化，使组织能够实时领先于对其产生影响的复杂威胁。自动化威胁响应平台的 SOAR 功能使安全团队能够超越单纯的事件管理，主动响应各种威胁，包括恶意软件、漏洞和威胁参与者。此外，网络融合中心利用其预先构建的大量高级策略库来自动响应复杂多样的威胁。

病例和分类管理 网络融合中心的 SOAR 功能为案例管理提供了新的维度。安全团队可以在一个平台上管理多个相关事件和威胁，利用复杂的案例和分类管理功能来阻止复杂的攻击，同时减少误报、噪音和整体 MTTR。此外，SOAR 功能通过由数据增强、情报丰富和高级相关性控制的流线型检测后和事件分类系统来减少分析师的疲劳。

将点连接 网络融合驱动的 SOAR 平台能够连接事件、漏洞、恶意软件、资产和威胁参与者之间的点，使团队能够收集有关复杂威胁活动的上下文情报，发现攻击者的轨迹，并确定潜在的威胁模式。此外，SOAR 解决方案将威胁情报融合与工作流构建、自定义剧本和内置剧本库相结合，以在微观层面管理威胁。

漏洞管理 SOAR 的另一个关键用例——漏洞管理。借助由网络融合支持的 SOAR 网络安全解决方案，安全团队可以了解当前的漏洞并采取相关的风险缓解措施。在漏洞管理工具发出潜在威胁警报后，网络融合中心的 SOAR 功能会利用从不同的安全工具和外部威胁数据库（如 VirusTotal、混合分析等）中积累的信息来丰富数据。这使安全团队能够快速有效地响应漏洞。在网络融合的驱动下，SOAR 解决方案可以查询漏洞管理工具进行高级诊断，并根据洞察力确定漏洞的风险等级。

跨环境编排 安全工具可以部署在云或本地环境中。但是，在不提高网络风险级别的情况下跨部署在不同环境中的工具自动化工作流成为安全团队的一项复杂任务。具有网络融合功能的高级 SOAR 平台可以促进跨不同环境（包括本地和云）的复杂编排，而无需安全团队将其防火墙暴露给外部流量。网络融合促进了多环境编排，提供了连接整个组织的所有安全流程所需的灵活性和可扩展性。这种 SOAR 功能允许安全团队在单个平台上监控和管理他们的所有环境。

机器对人对机器编排 (M2H2M) 通过使用与网络融合技术集成的 SOAR 平台，组织可以收集、丰富并与安全团队共享机器生成的安全警报。这有助于他们接收实时态势感知、做出明智的决定并采取必要的行动。

从内部和外部人类可读的来源，安全团队可以完全自动化警报摄取并将威胁警报传递到机器可读的安全更新中。内部部署的资源包括 SIEM、安全警报、ITSM、TIP、事件响应平台等，而外部资源包括 RSS 源、新闻博客、监管咨询和威胁情报提供商。简而言之，机器数据被用来启动进一步的机器操作，这些操作是端到端自动化的。

总结 自从网络融合和 SOAR 概念成为现实以来，安全供应商、大型企业和托管安全服务提供商 (MSSP) 已经开始采用适用于各种用例的技术，并获得了一些好处。

超越传统的 SOC 模型，网络安全组织正在建立 vCFC，包括 SOAR、威胁情报摄取、丰富、聚合、分析和高级威胁响应功能，重点是恶意软件、漏洞、事件和威胁参与者。

最后但并非最不重要的是 vCFC 的高级编排和自动化功能，它允许组织通过使现有资源协同工作来改进安全流程。这使安全团队通过实施动态防御策略更主动地防御威胁。经过通过构建 vCFC ，组织可以实时应对威胁、更快地响应威胁、优化威胁情报工作流程并防止潜在的违规行为。

vCFC 的独特价值主张之一是其 SOAR 功能，可帮助自动化 SOC，使安全团队能够更好地优先考虑和优化警报修复。SOAR 是 vCFC 的支柱，它减轻了 SOC 分析师执行单调任务的负担，将他们释放到更有生产力的工作中。

参考链接：

[1] https://cyware.com/educational-guides/security-orchestration-automation-and-response