资安协作自动化应变

资安协作自动化应变（Security orchestration, automation and response）简称SOAR，是一组网络安全的技术，可以让组织针对一些资讯安全事件进行自动化的处理。此技术会搜集资安监控中心（英语：Security Operations Center (computing)）监控的输入，像安全性资讯与事件管理（英语：Security information and event management）（SIEM）系统、网络威胁情报平台（英语：Threat Intelligence Platform）（TIP）等系统，以及其他安全技术的警告，协助定义标准事故响应活动，并且进行优先排序以及推动相关活动^[1]^[2]^[3]。

组织会使用SOAR平台提升实体及网络安全作业的效率^[4]。SOAR让管理者可以在无需人工介入的情形下处理安全警讯。当网络工具侦测到安全事件，SOAR会依安全事件的本质，发送警报给管理者，或是进行其他的应变措施^[2]。

组成[编辑]

资安协作自动化应变可以分为协作、自动化以及事件响应三部分。

协作（Orchestration）元件连接资讯系统中不同的安全工具以及系统。会让客户建立的应用程序和系统内建的安全工具整合，可以一起运作。此元件也会连接不同的端点、防火墙、用户安全分析工具（英语：User behavior analytics）^[5]。

自动化（Automation）元件会处理协作元件搜集的大量资讯，透过机器学习过程来分析。SOAR会处理大量记录分析的人工工作，并且处理ticket请求、弱点检查以及稽核流程^[5]。

事件响应（Incident response）元件让资安监控中心（英语：Security Operations Center (computing)）在识别到潜在威胁时，可以进行回应。此元件也可以自动化处理事件后的活动（像是威胁情资分享）^[5]。

配合营运手册和执行脚本，SOAR让管理者可以定义潜在的事件和响应^[2]。

营运手册（playbook）是叙述如何验证安全事件及应该如何响应的文件。营运手册的目的是说明执行脚本需要作的事。若SOAR 失效，可以用营运手册作人工处理的备案^[2]。

执行脚本（runbook）是用自动化工具实现营运手册中列的工作，让系统可以进行事先定义的措施，以缓和威胁的影响^[2]。

^ Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary. Gartner. [2023-04-28]. （原始内容存档于2024-03-06）（英语）.
^ ^2.0 ^2.1 ^2.2 ^2.3 ^2.4 Mike Chapple, James Michael Stewart, Darril Gibson. (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide Sybex. 2021: 845–846. ISBN 978-1-119-78623-8 （英语）.
^ Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases. D3 Security. [2023-06-21]. （原始内容存档于2024-04-10）（英语）.
^ What is SOAR (Security Orchestration, Automation and Response)? | Definition from TechTarget. Security. [2023-04-28]. （原始内容存档于2024-04-07）（英语）.
^ ^5.0 ^5.1 ^5.2 The Important Role of SOAR in Cybersecurity. Security Intelligence. [2023-04-28]. （原始内容存档于2023-09-24）（美国英语）.