SOAR(Security Orchestration, Automation and Response,安全编排自动化响应)
定义
SOAR 由 Gartner 在 2017 年命名,是企业安全运营的自动化与编排引擎 — 用 Playbook(剧本)把跨工具的响应流程编排成自动化执行,把 SOC 分析师从重复工单中解放。
核心能力
| 模块 | 描述 |
|---|---|
| Orchestration | 跨工具调用(防火墙、EDR、SIEM、SaaS API) |
| Automation | Playbook 自动执行(如"高危告警 → 隔离主机 → 拉群通知") |
| Response | 单一工作台处置事件 |
| Case Management | 工单生命周期管理 |
| Threat Intel 整合 | 自动 IOC 查询、富化 |
SOAR 的产业演化
SOAR 在 2020 年后逐步被**XDR / XSIAM** 吸收 — 大厂偏好把 SOAR 内嵌到平台,而不是独立采购:
- 2019 Palo Alto Networks $5.6 亿 收购 Demisto → Cortex XDR + Cortex XSOAR
- 2022 Google 收购 Siemplify → Chronicle SecOps
- Splunk Phantom(2018 收购)→ Cisco Splunk SOAR
关键玩家
- Palo Alto Networks — Cortex XSOAR / XSIAM
- Splunk Phantom — 现属 Cisco
- Google Chronicle — Siemplify 整合
- Microsoft Sentinel — 内置 SOAR
- 中国:奇安信(安全编排与运营平台)/ 启明星辰 / 安恒信息(恒脑驱动自动化)/ 绿盟科技
在 AI 时代
AI SOC / XSIAM 在 SOAR 基础上引入 LLM 自动写剧本、自动决策,进一步替代 SOC L1/L2 工作(据投行内部研究)。
关联
↑ up::SIEM XDR ↓ down::XSIAM AI SOC SOC ∈ belongs_to::3-08-AI基础设施安全