資安協作自動化應變

資安協作自動化應變（Security orchestration, automation and response）簡稱SOAR，是一組網路安全的技術，可以讓組織針對一些資訊安全事件進行自動化的處理。此技術會搜集資安監控中心（英语：Security Operations Center (computing)）監控的輸入，像安全性資訊與事件管理（英语：Security information and event management）（SIEM）系統、網路威脅情報平臺（英语：Threat Intelligence Platform）（TIP）等系統，以及其他安全技術的警告，協助定義標準事故響應活動，並且進行優先排序以及推動相關活動^[1]^[2]^[3]。

組織會使用SOAR平台提昇實體及網路安全作業的效率^[4]。SOAR讓管理者可以在無需人工介入的情形下處理安全警訊。當網路工具偵測到安全事件，SOAR會依安全事件的本質，發送警報給管理者，或是進行其他的應變措施^[2]。

組成

資安協作自動化應變可以分為協作、自動化以及事件響應三部份。

協作（Orchestration）元件連接資訊系統中不同的安全工具以及系統。會讓客戶建立的應用程式和系統內建的安全工具整合，可以一起運作。此元件也會連接不同的端點、防火牆、用戶安全分析工具（英语：User behavior analytics）^[5]。

自動化（Automation）元件會處理協作元件搜集的大量資訊，透過機器學習過程來分析。SOAR會處理大量記錄分析的人工工作，並且處理ticket請求、弱點檢查以及稽核流程^[5]。

事件響應（Incident response）元件讓資安監控中心（英语：Security Operations Center (computing)）在識別到潛在威脅時，可以進行回應。此元件也可以自動化處理事件後的活動（像是威脅情資分享）^[5]。

配合營運手冊和執行腳本，SOAR讓管理者可以定義潛在的事件和響應^[2]。

營運手冊（playbook）是敘述如何驗證安全事件及應該如何響應的文件。營運手冊的目的是說明執行腳本需要作的事。若SOAR 失效，可以用營運手冊作人工處理的備案^[2]。

執行腳本（runbook）是用自動化工具實現營運手冊中列的工作，讓系統可以進行事先定義的措施，以緩和威脅的影響^[2]。

^ Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary. Gartner. [2023-04-28]. （原始内容存档于2024-03-06）（英语）.
^ ^2.0 ^2.1 ^2.2 ^2.3 ^2.4 Mike Chapple, James Michael Stewart, Darril Gibson. (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide Sybex. 2021: 845–846. ISBN 978-1-119-78623-8 （英语）.
^ Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases. D3 Security. [2023-06-21]. （原始内容存档于2024-04-10）（英语）.
^ What is SOAR (Security Orchestration, Automation and Response)? | Definition from TechTarget. Security. [2023-04-28]. （原始内容存档于2024-04-07）（英语）.
^ ^5.0 ^5.1 ^5.2 The Important Role of SOAR in Cybersecurity. Security Intelligence. [2023-04-28]. （原始内容存档于2023-09-24）（美国英语）.