SOAR - Security Orchestration, Automation and Response – категория систем, в основе которых лежит совокупность взаимосвязанных технологий, позволяющая агрегировать большие массивы данных и событий ИБ из разнородных источников в целях автоматизации управления, анализа и реагирования на угрозы ИБ. Рядом специалистов рассматривается как очередной этап эволюции SIEM. Позволяет полностью автоматизировать процессы управления информационной безопасностью, начиная от назначения приоритетов и заканчивая реагированием на киберинциденты.
Основные функциональные возможности SOAR включают в себя:
-
Security Orchestration (оркестровку) – интеграцию со сторонними ИТ и ИБ системами, возможность объединения различных технологий и инструментов безопасности, которые необходимы для оценки возможных рисков и принятия решений.
-
Automation (автоматизацию), нивелирующую влияние человеческого фактора, сокращающую время сбора и обработки данных и реагирования на киберинциденты.
-
Response (реагирование) – возможность автоматического реагирования на выявленные инциденты ИБ.
Хотя системы класса SOAR появились совсем недавно, Security Vision как пионер рынка информационной безопасности уже предлагает пользователям Security Vision Security Operation Center и Security Vision Incident Response Platform, которые являются полноценными SOAR-системами.