SOAR
Qu'est-ce que SOAR ?
SOARPlateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
Le SOAR (Security Orchestration, Automation and Response) se positionne aux côtés du SIEM et de l'EDR/XDR pour opérationnaliser la réponse aux incidents. Via des connecteurs et des API, il interroge le renseignement sur les menaces, l'IAM, les postes, le réseau et la gestion des tickets, et exécute des playbooks codifiés qui trient les alertes, enrichissent les indicateurs, isolent les hôtes, désactivent les comptes et documentent les cas. Le SOAR réduit la charge répétitive, impose des processus homogènes et améliore le MTTR en automatisant les étapes répétables, tout en laissant l'humain dans la boucle pour les actions à haut risque. Plateformes courantes : Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel et Tines.
● Exemples
- 01
Un playbook de tri d'hameçonnage qui détone les URL dans un bac à sable, interroge VirusTotal et met l'e-mail en quarantaine.
- 02
Un playbook XSOAR qui isole un hôte dans l'EDR et réinitialise le mot de passe utilisateur en cas de comportement de ransomware.
● Questions fréquentes
Qu'est-ce que SOAR ?
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie SOAR ?
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
Comment se défendre contre SOAR ?
Les défenses contre SOAR combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.