Pure 新知
什麼是 SOAR？

什麼是 SOAR？

在網路安全方面，SOAR 代表安全調度、自動化和回應。它包含任何可讓公司收集和分析網路安全相關資料的軟體或工具。

什麼是 SOAR，它如何運作？

SOAR 系統能讓企業組織運用各種工具與功能，利用所有網路安全相關資料來改善事件回應。

SOAR 系統的主要組件為：

調度

安全調度功能整合和分析各種技術與安全工具的資料，以加速並改善事件回應。調度也涉及協調不同的網路安全技術，以協助組織處理複雜的網路安全事件。舉例來說，SOAR 工具可以整合網路安全 IT 操作資料，利用網路監控工具的資料作為防火牆規則的基準。

自動化

任何 SOAR 工具的關鍵功能之一是自動化，它消除了手動偵測和回應安全事件的非常耗時的需求。舉例來說，SOAR 系統可自動分類特定類型的事件，並允許安全團隊定義標準化的自動化程序，例如決策工作流程、健康檢查、執行與遏制，以及稽核。

回應

SOAR 平台從其他安全工具收集資料，如安全性資訊和事件管理（SIEM）系統和威脅情報摘要。他們優先處理安全事件，並將安全事件的重要資訊傳送給安全人員。

個案管理

個案管理是任何 SOAR 平台的基本要素。個案管理功能讓安全分析人員能夠存取個別個案記錄，以便動態分析與互動任何與特定事件相關的資料，並利用該分析來改善與迭代其安全回應流程。

儀表板

SOAR 工具的儀表板提供與數字 1、2、3、4 和以上有關的所有事項的概述，即所有與安全相關的資料和活動，包括明顯事件及其嚴重性、教戰手冊、與其他安全工具的連結、工作負載，甚至是自動化活動的投資報酬率摘要。一般來說，您可以依時段、資料來源或使用者來篩選 SOAR 儀表板。可依您的規格開啟、關閉或重新排列小工具。簡而言之，它是您監控 SOAR 系統所有運作狀況，以及運作成效的中心樞紐。

SOAR 解決方案如何識別威脅？

SOAR 系統瀏覽並收集各種來源的資料，然後結合人類與機器學習來分析這些資料，以偵測潛在威脅，並排定事件回應計畫與行動的優先順序。通常，公司會將 SOAR 系統自動化，使其能夠最有效地支援網路安全。

SOAR 資料來源

SOAR 系統從許多不同來源提取和分析資料，包括：

弱點掃描程式，是設計用來評估電腦、網路或應用程式安全性弱點的電腦程式。
端點保護軟體，可保護組織的端點，如伺服器和個人電腦，免受惡意軟體感染、網路攻擊和其他威脅。
防火牆 是基於預定的安全規則來監控和控制傳入和傳出網路流量的網路安全系統。
入侵偵測和入侵防護系統，這是網路安全工具，可持續監控網路是否有惡意活動，並採取行動加以防範。
資安資訊與事件管理（SIEM）平台，將日誌資料、資安警示和事件彙整到集中式平台，以進行安全性監控和警示的即時分析。
外部威脅情報摘要，包括從第三方供應商收集的任何可操作的威脅資料，以增強網路威脅回應和意識。

SOAR 的主要優點

SOAR 系統透過兩項主要優勢，實現更有效且高效率的事件回應：

更快速的事件回應：SOAR 幫助公司減少平均偵測時間（MTTD）和平均還原時間（MTTR），將安全警示獲得認證所需的時間從數月或數週補救為數分鐘。SOAR 也能透過稱為教戰手冊的程序，實現事件回應自動化。自動化的行動包括封鎖防火牆或 IDS 系統的 IP 位址、暫停使用者帳戶，以及將受感染的端點與網路隔離。
更好的網路安全情報：由於 SOAR 系統能夠彙整和分析來自許多不同來源的資料，因此能強化所有類型網路安全威脅的背景，並減少錯誤警報，幫助安全團隊更快速而非更努力地工作。