SOAR
Was ist SOAR?
SOARPlattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
Security Orchestration, Automation and Response (SOAR) ergänzt SIEM und EDR/XDR und operationalisiert die Incident Response. Über Connectoren und APIs werden Threat-Intelligence-, IAM-, Endpoint-, Netzwerk- und Ticketing-Systeme angebunden, und kodifizierte Playbooks triagieren Alarme, reichern Indikatoren an, isolieren Hosts, deaktivieren Konten und dokumentieren den Fall. SOAR reduziert manuelle Arbeit, erzwingt konsistente Prozesse und senkt die MTTR durch Automatisierung wiederholbarer Schritte, während Menschen bei risikoreichen Aktionen eingebunden bleiben. Gängige Plattformen sind Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel und Tines.
● Beispiele
- 01
Ein Phishing-Triage-Playbook, das URLs in einer Sandbox detoniert, VirusTotal abfragt und die E-Mail in Quarantäne nimmt.
- 02
Ein XSOAR-Playbook, das einen Host im EDR isoliert und das Benutzerpasswort zurücksetzt, sobald Ransomware-Verhalten erkannt wird.
● Häufige Fragen
Was ist SOAR?
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet SOAR?
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
Wie schützt man sich gegen SOAR?
Schutzmaßnahmen gegen SOAR kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.