SOAR
Что такое SOAR?
SOARПлатформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
Security Orchestration, Automation and Response (SOAR) работает рядом с SIEM и EDR/XDR и переводит реагирование на инциденты в операционное русло. С помощью коннекторов и API SOAR обращается к системам threat intelligence, IAM, защите конечных точек, сетевым средствам и трекерам задач, выполняя кодифицированные плейбуки, которые сортируют оповещения, обогащают индикаторы, изолируют хосты, отключают учётные записи и оформляют кейсы. SOAR снижает рутинную нагрузку аналитиков, обеспечивает единый процесс и сокращает MTTR за счёт автоматизации повторяющихся шагов, оставляя человеку контроль над рискованными действиями. Популярные платформы: Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel и Tines.
● Примеры
- 01
Плейбук триажа фишинга: подрыв URL в песочнице, запрос в VirusTotal и помещение письма в карантин.
- 02
Плейбук XSOAR изолирует хост в EDR и сбрасывает пароль пользователя при обнаружении поведения программы-вымогателя.
● Частые вопросы
Что такое SOAR?
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности. Относится к категории Защита и операции в кибербезопасности.
Что означает SOAR?
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
Как защититься от SOAR?
Защита от SOAR обычно сочетает технические меры и операционные практики, как описано в определении выше.