SOAR (ang.: Security Orchestration, Automation and Response) to platforma bezpieczeństwa agregująca informacje zebrane z innych systemów i automatyzująca pracę zespołów IT. Termin został stworzony przez firmę Gartner w 2015 roku, a obecny kształt tej technologii znamy od 2017 roku. Dzięki AI oraz uczeniu maszynowemu SOAR pozwala szybciej reagować na incydenty i unikać podatności, wykonując powtarzalne czynności, jak analiza logów czy skanowanie podatności i przez to oszczędzać czas specjalistów. Jest to jednocześnie łatwe do skalowania narzędzie, w razie zwiększonego nakładu pracy czy rozrastającej się sieci firmowej.

Trzy kluczowe zadania SOAR to:

• orkiestracja systemów bezpieczeństwa, czyli automatyzacja wielu powiązanych ze sobą zadań związanych z bezpieczeństwem,


• automatyzacja procesów bezpieczeństwa,


• reagowanie na incydenty i alerty z innych systemów.

Dużą zaletą platform SOAR jest dostarczanie gotowych wyników z monitoringu bezpieczeństwa w przejrzystym interfejsie. Prezentowany jest bardzo szeroki kontekst danych, który ułatwia analitykom w czasie rzeczywistym podejmować kluczowe decyzje lub śledzić trendy w obrębie sieci. SOAR nie jest jednak narzędziem w pełni zastępującym wykwalifikowany zespół. Automatyzacja ma za zadanie jedynie wspierać kompetentnych analityków.

Zarówno SIEM, jak i SOAR są platformami do centralnego zarządzania systemami bezpieczeństwa. Odgrywają jednak różne role w infrastrukturze i doskonale uzupełniają się wzajemnie, dając zespołom Security Operations Center pełen wgląd w sieć przy jednoczesnej automatyzacji procesów.

1. Systemy SIEM pozwalają na dokładne monitorowanie stanu urządzeń i aplikacji w obrębie sieci w stanie rzeczywistym. Analizując ruch, wykrywają anomalie, a następnie informują specjalistów o potencjalnym niebezpieczeństwie za pomocą alertów bezpieczeństwa, które następnie są przez nich weryfikowane osobiście.
   
   Systemy SIEM mają jednak tendencję do generowania wielu alertów (wynika to z ich kluczowej cechy, czyli możliwości analizowania dużej ilości danych w czasie rzeczywistym), w tym wielu fałszywych. Biorąc pod uwagę, że oprócz systemów SIEM w firmowych systemach wykorzystuje się także inne technologie dostarczające informacje o stanie sieci (w tym systemy IPS, WAF czy DLP), analizowanie wszystkich sygnałów mogłoby być czasochłonne, a ponadto usypiające czujność kadry IT. Wynika z tego naturalna potrzeba automatyzacji i zwiększenia wydajności pracy zespołów IT.


2. SOAR, oprócz samej informacji o ataku lub podatności, pozwala na automatyzację procesów bezpieczeństwa i reagowanie na incydenty według ustalonych wcześniej procedur. Systemy bezpieczeństwa, zagregowane w ramach platformy SOAR, wykrywają przykładowy atak na sieć firmową, a SOAR przeprowadza analizę zdarzenia, zbierając dodatkowe dane (np. źródłowe adresy IP), ustalając wzorzec ataku i kończąc na ocenie zagrożenia. W rażących przypadkach platforma może zablokować potencjalnie niebezpieczne adresy IP, pakiety danych lub zmienić reguły innych zabezpieczeń. Powiadomi też zespół IT o zaistniałym incydencie i wygeneruje raport.

Koegzystencja obu systemów daje świetne rezultaty w obszarze bezpieczeństwa. SIEM zajmuje się przetwarzaniem danych i generowanie alertów, które następnie są przetwarzane przez SOAR. Platforma, wykorzystując uczenie maszynowe i pracę analityków, może w pewnym stopniu automatycznie reagować na incydenty.