转自公众号专注安管平台 https://mp.weixin.qq.com/s/X0BoaaFG1a-p5xymokC1YQ

【注：以下内容除英文引用之外，都是笔者的个人体会，不代表 Gartner 的观点】SOAR 的全称是 Security Orchestration, Automation and Response，意即安全编排自动化与响应。看过本人《安全编排自动化与响应（SOAR）技术解析》一文的人都知道，Gartner 最早提出 SOAR 这个概念的时候，是将其对应为 Security Operations, Analytics and Reporting（安全运维分析与报告）的首字母缩写，跟现在的 SOAR 差别很大！到了 2017 年才有现在意义上的 SOAR。而这三年来，Gartner 对 SOAR 的定义一直在变化。

让我们先回顾一下历史： 定义 1【2015 年】：安全运维分析与报告（SOAR）利用机读的状态化的安全数据来提供报告、分析与管理的能力，以支撑安全运营团队。SOAR 的核心能力包括 SIR（安全事件响应），SOA（安全编排自动化）和 TVM（威胁弱点管理）。 SOAR utilizes machine-readable and stateful security data to provide reporting, analysis and management capabilities to support operational security teams. 这是早老的定义，现在已经完全废弃。

定义 2【2017 年，SOAR 创新洞察】：SOAR 是一系列技术的集合，它使组织能够收集不同来源的安全威胁数据和告警，并借助人工与机器的组合操作进行事件分析和分诊，进而按照某种标准的工作流去帮助定义、确定优先级并推动标准化的事件响应活动。 SOAR are technologies that enable organizations to collect security threats data and alerts from different sources, where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow.

定义 3【2018 年，面向威胁的技术炒作曲线】：SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括 SIEM 和其它安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准的工作流的指引下，利用人机结合的方式帮助安全运维人员定义、确定优先级并推动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行数字化的描述。 SOAR refers to technologies that enable organizations to collect inputs monitored by the security operations team. For example, alerts from its SIEM and other security technologies, where incident analysis and triage can be performed leveraging a combination of human and machine power to help define, prioritize and drive standardized incident response activities according to a standard workflow. SOAR tools allow an organization to define incident analysis and response procedures in a digital workflow format.

可以看到，2018 年和 2017 年的定义基本相同，措辞有些许改变。 这一时期（2017~2018），SOAR 的目标重点都落到了 R（响应）上，也许可以称作 SOA for R，SOA 的目标主要就是响应活动，即响应活动的编排与自动化。进一步地，这个响应过程是收集——分析分诊——处置。收集的信息是多源的，分析分诊的过程是人机结合的（不能 100% 依靠机器自动化），而整个响应过程是标准化的、流程化的。

定义 4【2019 年，SOAR 市场指南】：SOAR 能够让组织收集多种来源（主要是 SIEM 系统）的数据，并应用工作流来拉通各种流程和规程。这些流程和规程可以通过不同技术间集成化编排和自动化达成预期的目标，获得更好的可见性。附加的能力还包括案事件管理、威胁情报管理、仪表板和报表，以及跨功能的分析。 SOAR are technologies that enable organizations to take inputs from a variety of sources (mostly from security information and event management [SIEM] systems) and apply workflows aligned to processes and procedures. These can be orchestrated via integrations with other technologies and automated to achieve a desired outcome and greater visibility. Additional capabilities include case and incident management features; the ability to manage threat intelligence, dashboards and reporting; and analytics that can be applied across various functions.

定义 5【2019 年，面向威胁的技术炒作曲线】：SOAR 能够让组织收集多种来源的数据，并应用工作流来拉通各种流程和规程。这些流程和规程可以通过编排（即不同技术间的集成）和自动化达成预期的目标。附加的能力还包括案事件管理、威胁情报管理、仪表板和报表，以及跨功能的分析。 SOAR are technologies that enable organizations to take inputs from various sources and apply workflows aligned to processes andprocedures. They can then be orchestrated (via integrations with othertechnologies) and automated to achieve a desired outcome. Additional capabilities include case and incident management; the ability to manage threatintelligence, dashboards and reporting; and analytics that can be appliedacross various functions.

可以看到，2019 年的 SOAR 定义比较稳定，相较于 2018 年做了些许调整。 这个时期（2019），SOAR 的目标已经不再凸显 R（响应）了，而是泛指各种流程和规程，这个时候工作流（workflow）成为了核心。不论怎样的工作流，都要应用到编排与自动化的技术。笔者觉得，此时的 SOAR 也许叫 SOAW，或者 SOA for (opertions) workflows。此外，Gartner 可能觉得这个定义太泛泛了，后面还加了一个尾巴，给出了几个具体的功能清单。

进入 2020 年，Gartner 对 SOAR 的定义发生了明显的变化。 定义 6【2020】：SOAR 平台是一类为人类安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。这里的团队不限于 SIEM 操作员或 SOC 分析师。这里的团队可以包括告警与分诊管理、事件响应人员、威胁情报、合规经理、威胁猎手。 SOAR platforms are solutions that add machine assistance to human security operators as they execute certain duties within their teams. The scope of teams where this applied is not limited to just SIEM operators or SOC analysts. It can include alert and triage management, incident responders, threat intelligence, compliance managers, and threat hunters.

定义 7【2020 年，安全运营炒作曲线】：SOAR 是一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。 SOAR are solutions that add machine assistance to human security operators by taking inputs from various sources and applying workflows aligned to processes and procedures. Those procedures can then be orchestrated (via integrations with other technologies) and automated to achieve a desired outcome, such as triage management, incident responders, threat intelligence, compliance managers, and threat hunting.

分析 Garnter 在 2020 年的 SOAR 定义，可以发现，明显的变化在于强调了 SOAR 是一种为人提供机器协助的解决方案。具体可以分为两点： 1）强调了人在 SOAR 中的主体地位和作用，以及机器智能、机器自动化的辅助增强作用。从 2017 年说 “人机结合” 到 2018~2019 年不提及，再到 2020 年重提人的重要性，能够体会到 Gartner 对于 SOAR 的认知和定位的厘清过程。也许此时可以称 SOAR 为 SOA for human 吧。 2）SOAR 从一种技术升格为一种解决方案。一般地，解决方案是多种技术的组合，用于满足特定的用户需求。

接下来呢？让我们一起等待 Gartner 最新一期的 SOAR 市场指南吧。

最后，也谈谈笔者对 SOAR 定义的理解。笔者认为，SOAR 应该是这样一个系统： 1）它是一个智能化的协作安全运营系统； 2）它面向 SecOps 团队，以高效的实战化安全运营为目标，为团队赋能； 3）它能实现人与组织、流程、技术及工具的整合，整合的纽带是 “剧本” 和 “应用”； 4）编排与自动化是 SOAR 的核心能力。

响应是 SOAR 的一个经典应用场景，但 SOAR 不限于响应，安全编排与自动化适用于识别、防护、检测、响应、恢复等等各个环节。

我们一直都在说一个完整的安全运营中心是人、流程和技术的集合体。以 SIEM 技术为核心的 SOC 平台或者安管平台一直致力于为 SOC 的人提供一个技术平台，但却从没有真正将人与技术整合到一起，更不要说流程。人和流程与 SOC 平台之间始终存在间隙。SOAR 则恰好填补了这个空白，以整合人、流程和技术为使命，让我们朝真正的 SOC 又前进了一步。