Entry № 1182
SOAR
SOAR 是什么?
SOAR通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
安全编排、自动化与响应(SOAR)与 SIEM、EDR/XDR 协同工作,将事件响应流程落地。SOAR 通过连接器与 API 调用威胁情报、IAM、终端、网络和工单系统,运行已编码的剧本来分流告警、富化指标、隔离主机、停用账号并归档案件。SOAR 减少分析师的重复劳动,强制执行一致的流程,通过对可重复步骤的自动化来缩短 MTTR,同时在高风险动作上保留人工审批。常见平台包括 Splunk SOAR、Palo Alto Cortex XSOAR、Microsoft Sentinel 自动化规则和 Tines。
● 示例
- 01
钓鱼邮件分流剧本:在沙箱中引爆 URL、查询 VirusTotal 并将邮件隔离。
- 02
XSOAR 剧本在检测到勒索行为时,通过 EDR 隔离主机并重置用户密码。
● 常见问题
SOAR 是什么?
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。 它属于网络安全的 防御与运营 分类。
SOAR 是什么意思?
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
如何防御 SOAR?
针对 SOAR 的防御通常结合技术控制与运营实践,详见上方完整定义。