SOAR 安全编排自动化与响应
Security Orchestration, Automation, Response。 把多个安全工具串起来 + 自动跑 playbook 的平台。
三个词分别是什么
| 词 | 干啥 |
|---|---|
| Orchestration | 串起SIEM、防火墙、EDR、ticket 系统等多个工具 |
| Automation | 重复任务自动跑 —— 比如自动隔离染毒主机 |
| Response | 跑完整的 playbook,从检测到响应 |
解决什么问题
SOC 团队每天收 1000+ 告警,人工根本看不过来。 SOAR 让”低级别 + 可确定动作”的告警自动处理,人只看真正复杂的。
跟 SIEM 区别
- SIEM —— 收集 + 关联 + 告警(看见)
- SOAR —— 自动响应 + 编排(动手)
现代化趋势:SIEM + SOAR 合并成一个平台(比如 Microsoft Sentinel、Splunk Enterprise Security)。