SOAR
O que é SOAR?
SOARPlataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
O SOAR (Security Orchestration, Automation and Response) trabalha em conjunto com o SIEM e o EDR/XDR para operacionalizar a resposta a incidentes. Através de conectores e APIs, consulta threat intelligence, IAM, endpoints, rede e ticketing, executando playbooks codificados que triagem alertas, enriquecem indicadores, isolam hosts, desativam contas e documentam o caso. O SOAR reduz o trabalho repetitivo, impõe processos consistentes e melhora o MTTR ao automatizar passos repetíveis, mantendo o humano no circuito para ações de alto risco. Plataformas comuns: Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel e Tines.
● Exemplos
- 01
Playbook de triagem de phishing que detona URLs num sandbox, consulta o VirusTotal e coloca o e-mail em quarentena.
- 02
Playbook XSOAR que isola um host no EDR e redefine a palavra-passe do utilizador ao detetar comportamento de ransomware.
● Perguntas frequentes
O que é SOAR?
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança. Pertence à categoria Defesa e operações da cibersegurança.
O que significa SOAR?
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
Como se defender contra SOAR?
As defesas contra SOAR costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.