SOAR

Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.

O SOAR (Security Orchestration, Automation and Response) trabalha em conjunto com o SIEM e o EDR/XDR para operacionalizar a resposta a incidentes. Através de conectores e APIs, consulta threat intelligence, IAM, endpoints, rede e ticketing, executando playbooks codificados que triagem alertas, enriquecem indicadores, isolam hosts, desativam contas e documentam o caso. O SOAR reduz o trabalho repetitivo, impõe processos consistentes e melhora o MTTR ao automatizar passos repetíveis, mantendo o humano no circuito para ações de alto risco. Plataformas comuns: Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel e Tines.

Exemplos

Playbook de triagem de phishing que detona URLs num sandbox, consulta o VirusTotal e coloca o e-mail em quarentena.
Playbook XSOAR que isola um host no EDR e redefine a palavra-passe do utilizador ao detetar comportamento de ransomware.

SOAR

Exemplos

Termos relacionados

SIEM

Centro de Operações de Segurança (SOC)

Resposta a incidentes

EDR (Endpoint Detection and Response)

Threat Intelligence

Mean Time to Respond (MTTR)

Definição

Exemplos

Termos relacionados

SIEM

Centro de Operações de Segurança (SOC)

Resposta a incidentes

EDR (Endpoint Detection and Response)

Threat Intelligence

Mean Time to Respond (MTTR)