soar(安全编排、自动化和响应)被看作是下一代soc的标志性方案，同时也是提升安全运营效率的关键机制。

众所周知，下一代SOC的重点是提高检测和响应能力。然而，现实情况表明，SOC运营团队面临着巨大压力，误报率不断攀升，平均响应时间（MTTR）始终难以提高。因此，安全业界和企业安全团队对SOAR解决方案寄予厚望，期望通过部署SOAR在检测和响应威胁方面大幅提高SOC效率。

甲方企业必须明白，若未能正确实施SOAR解决方案，则还将面临新的挑战。如果没有适当的计划，采用安全自动化工具的企业可能会成为常见失误的受害者，这些失误会迅速导致效率降低和安全状况变差。

总之，企业选择合适的SOAR解决方案，需要考虑多种因素。以下是几位国外安全专家对SOAR选型给出的见解和建议：

Palo Alto Networks产品策略副总裁Rishi Bhargava

SOAR解决方案的实施不是简单的从“缺少”到“拥有”的过程。企业需要评估其现有的流程和安全工具堆栈，然后选择相应的部署方法。

• 生态系统至关重要：SOAR解决方案需要能够集成，涵盖您当前使用的供应商工具。应该提供内部开发或自定义集成的选项。一个可靠的SOAR解决方案应该能够与企业的发展同步，不断完善。将检测、丰富化和执行等流程以及相关工具完美集成。

• 强大的工单和案例管理功能：事件响应很少以自动化来开始和结束。分析人员总是会参与事件调查。请问供应商：您的SOAR平台是否原生提供本地案例管理，还是与相关工具集成?您可以重构事件时间表吗?您无需大量编码即可轻松自定义预案吗?

• 集成的威胁情报管理：手动威胁情报工作流是耗时的，并且无法扩展，因此，集成的威胁情报管理自动化功能将大大减少您的平均响应时间。

• 灵活的部署：SOAR平台应支持本地部署和云托管部署。对于分布式环境，请寻找可扩展并支持完全多租户环境的方案。

无论您在选择或实施SOAR的哪个阶段，上述注意事项都将确保您所在的企业处于最佳路径。

Micro Focus SecOps产品经理GamzeBingöl

SOAR解决方案的根本目的是通过自动化和编排技术帮助安全人员提高检测和响应网络威胁的能力。

• 通过消除误报并自动执行重复性活动，网络安全自动化的SOAR自动化功能能够自动处理大多数威胁。使用SOAR自动执行耗时且重复的任务，使分析师有更多时间专注于需要人工干预的案例。

• SOAR的即开即用功能应该是场景驱动、随时可用的自动预案。有可随时使用的计划能够帮助团队将响应时间从数小时压缩至数分钟，并提高分析员的工作效率。

• 相较于孤立的安全工具，整合的工具集更为有用，因为它们能够相互补充。SOAR很重要的一点就是需要与企业中现有安全的解决方案、IT基础结构和技术集成，并通过加强协作和编排所有要素(就像它们都是同一解决方案的一部分一样)，充当整个安全环境的集中式枢纽。

• KPI和指标：SOAR关于案例和分析师的详细报告可以帮助管理人员了解历史事件并更好地计划未来的方向。

Exabeam欧洲、中东和非洲地区安全策略高级总监Richard Cassidy

SOAR解决方案应使团队能够跨大量不同的数据流自动进行识别和响应过程，从而使威胁和漏洞的优先级划分几乎无缝衔接，并且在安全运营效率上要高得多。

如果实施正确，安全运营中心(SOC)可以从使用SOAR解决方案中受益，从而帮助他们更快，更有效地应对威胁。

将SOAR与其他安全工具集成在一起，例如安全信息和事件管理(SIEM)，可以通过自动化来改变SOC团队的业务和技术成果，同时还可以提高效率。

企业可以使用SOAR来增强SIEM的功能，从而提供全面的解决方案。SIEM以一种有用的方式收集和存储数据，SOAR可以使用它来自动调查事件并做出响应，并减少对人工操作的需求。

而且，对于SOC团队迄今为止最大的挑战——误报，SOAR解决方案可以帮助采集信息，对重复警报进行优先级排序和合并，以减少误报的数量。

科迪康奈尔大学首席战略官，Swinlane

在考虑SOAR解决方案时，企业需要从两个角度进行思考：安全运营自动化需要解决的问题是什么，需求是什么?将来如何利用自动化?

通常情况下，您使用的工具或针对对手的策略是动态的，而不是静态的。因此，您应该选择可以快速集成快速扩展的解决方案——不仅足以满足当今的需求，而且还能够满足未来的需求。

其次，当您查看攻击者技术的变化时，您是否认为攻击者也会拥抱自动化?事实上攻击者不仅使用自动化来运行扫描，而且还使用DevOps方法来为每个攻击目标构建唯一的基础架构。

如果这种情况继续下去，您将需要一个自动化平台，该平台能够在无需人工干预的情况下，对案件和警报中的危害指标(IOC)和其他情报进行追溯和调查。

Splunk安全布道者Matthias Maier

选择SOAR平台时应考虑几个不同的标准，以及使用哪些标准：

(1) 核心能力

用户可以轻松辨认这些作为SOAR平台的基本组成部分和功能。其中的一些重要组件例如编排器、负责指导和监督与给定安全方案有关的所有活动。编排器需要最佳化利用可用资源，这一点至关重要。另一个是自动化引擎。由于自动化任务是独立运行的，并且在很大程度上不需要人工干预，因此平台可伸缩性和可扩展性等属性是要考虑的重要标准。案例和预案管理也应予以考虑。

(2) 平台属性

这属于定性标准。通过观察和与平台的交互，可以更频繁地评估这些标准。SOAR平台必须支持强大的社区模型，并易于共享应用程序集成和剧本。了解SOAR平台在垂直和水平方向上如何扩展也很重要。随着时间的推移添加用例，平台上将增加额外的处理负载。开放、移动友好且易于使用的平台也是关键考量因素。

(3) 商业考虑

公司提供的增值服务包括旨在增强其核心技术的项目，如培训和支持。无论公司的核心技术多么出色，在传统上被认为是对购买者的决策过程产生重大影响的产品之外的其他因素也需要给予关注。

SIRP首席执行官Faiz Ahmad Shuja

一项研究发现，安全专家平均每天收到840个安全警报。由于大多数警报大约需要15-30分钟才能完成手动调查，因此对于任何安全团队而言，这几乎是一项不可能的任务。

使尽可能多的工作负载自动化将使安全团队能够跟上步伐，并确保重要的威胁不会被忽略，SOAR平台是最有效解决方案之一。

成功集成SOAR的最重要步骤是为所有安全流程提供可靠的文档。对于所有主要流程，都需要有完善的响应手册。例如，如果检测到潜在的网络钓鱼电子邮件，则响应可能包括调查发件人的地址和检测欺骗的迹象，对所有URL的信誉得分和恶意脚本进行探测。一旦记录了所有这些过程，SOAR平台就可以开始自动执行它们。

另外，组织需要确保他们选择的SOAR平台具有强大的集成能力。This platform will need to seamlessly integrate with their existing SIEM solution and connect with other security solutions and broader IT infrastructure.。

Siemplify首席执行官Amos Stern

安全协调、自动化和响应，能够解决安全团队长久以来面临的一些最令人沮丧的挑战。

正确的SOAR平台，加上良好的实施，可以帮助减少警报过载，将组织所使用的多种不同的检测工具结合在一起，并构建自动化和可重复的流程以减少响应时间，同时又使安全分析人员摆脱了繁琐且通常是繁琐的手动工作。使他们可以专注于高价值的工作，例如搜寻威胁和建立更具弹性的安全基础架构。

将该句重写如下： 核心目标是集成各种第三方检测工具，通过使用本地API获取警报并实现工作流程的自动化。

但是，最好的SOAR可以充当集中式工作台。像Salesforce一样思考，这也适用于SOC分析师。您应该寻找的SOAR解决方案应当具备以下高级功能：

• 案例管理(特别是对与上下文相关的警报进行分组的能力);

• 集成的威胁情报;

• 协作(在新的远程办公环境中尤其重要);

• 仪表板和KPI(以提供可见性和洞察力);

• 危机管理(升级)在发生重大事件时进行跨组织的响应。

# 架构  # 分布式  # 栈  # 堆  # 事件  # this  # devops  # 网络安全  # 重构  # 自动化  # 响应时间  # 您的  # 分析师  # 可以帮助  # 自定义  # 仪表板  # 至关重要  # 核心技术  # 首席执行官  # 都是 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel的.env文件有什么用_Laravel环境变量配置与管理详解  Edge浏览器提示“由你的组织管理”怎么解决_去除浏览器托管提示【修复】  如何在橙子建站上传落地页？操作指南详解  Laravel队列任务超时怎么办_Laravel Queue Timeout设置详解  手机怎么制作网站教程步骤,手机怎么做自己的网页链接？  html如何与html链接_实现多个HTML页面互相链接【互相】  三星网站视频制作教程下载,三星w23网页如何全屏？  SQL查询语句优化的实用方法总结  百度输入法全感官ai怎么关 百度输入法全感官皮肤关闭  使用spring连接及操作mongodb3.0实例  Laravel怎么实现模型属性的自动加密  Android仿QQ列表左滑删除操作  网站制作企业,网站的banner和导航栏是指什么？  如何用已有域名快速搭建网站？  微信h5制作网站有哪些,免费微信H5页面制作工具？  Laravel集合Collection怎么用_Laravel集合常用函数详解  高配服务器限时抢购：企业级配置与回收服务一站式优惠方案  Laravel怎么实现模型属性转换Casting_Laravel自动将JSON字段转为数组【技巧】  HTML透明颜色代码怎么让下拉菜单透明_下拉菜单透明背景指南【技巧】  什么是javascript作用域_全局和局部作用域有什么区别？  详解免费开源的DotNet二维码操作组件ThoughtWorks.QRCode（.NET组件介绍之四）  微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】  详解Huffman编码算法之Java实现  如何用IIS7快速搭建并优化网站站点？  韩国服务器如何优化跨境访问实现高效连接？  大连企业网站制作公司,大连2025企业社保缴费网上缴费流程？  浏览器如何快速切换搜索引擎_在地址栏使用不同搜索引擎【搜索】  高防服务器租用指南：配置选择与快速部署攻略  网站制作免费,什么网站能看正片电影？  canvas 画布在主流浏览器中的尺寸限制详细介绍  Laravel如何部署到服务器_线上部署Laravel项目的完整流程与步骤  如何在腾讯云服务器快速搭建个人网站？  教你用AI将一段旋律扩展成一首完整的曲子  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  Laravel怎么处理异常_Laravel自定义异常处理与错误页面教程  如何在香港免费服务器上快速搭建网站？  如何用好域名打造高点击率的自主建站？  javascript基于原型链的继承及call和apply函数用法分析  jimdo怎样用html5做选项卡_jimdo选项卡html5实现与切换效果【指南】  如何在VPS电脑上快速搭建网站？  个人网站制作流程图片大全,个人网站如何注销？  JS实现鼠标移上去显示图片或微信二维码  网站设计制作书签怎么做,怎样将网页添加到书签/主页书签/桌面？  Laravel怎么解决跨域问题_Laravel配置CORS跨域访问  Android中Textview和图片同行显示(文字超出用省略号，图片自动靠右边)  Laravel与Inertia.js怎么结合_使用Laravel和Inertia构建现代单页应用  今日头条微视频如何找选题 今日头条微视频找选题技巧【指南】  独立制作一个网站多少钱,建立网站需要花多少钱？  Laravel如何使用查询构建器？（Query Builder高级用法）  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能