SOAR（security orchestration，automation and response），由Gartner于2015年提出，最初的含义是安全运营、分析与报告。2017年，Gartner又重新定义了SOAR的能力，包括安全编排、安全自动化和安全响应。

Gartner认为，SOAR是一组兼容软件程序的堆栈，用以收集对网络安全造成威胁的数据，并对安全事件做出响应。用户使用SOAR平台的目的是提高物理系统及数字安全运营的效率。

SOAR的三大功能

安全编排

安全编排是通过工具将不同系统整合，如漏洞扫描、终端防护、行为分析、防火墙、IDS/IPS或外部威胁情报源等，进行自定义集成和接口对接，从而提升数据的收集能力。

通过这些来源收集的数据越多，侦测威胁的机会就越大，同时也能获得更完整的背景信息，并改善协作。

安全自动化

安全自动化通过分析从安全编排中收集的数据及告警，创建自动化流程来替代人工流程。安全运营平台以前由分析人员执行的任务，比如漏洞扫描、日志分析和审计能力，现在能够通过SOAR的安全自动化功能实现标准化并且自动执行。

安全响应

安全响应为分析人员提供单一视图，这个单一视图可以促进安全、网络和系统之间的协作及情报共享。安全人员在检测到威胁后，能够规划、管理、监控和报告已采取的行动。

SOAR的核心优势

SOAR是基于系统执行安全操作的能力，能够检测、调查和消除网络威胁，无需人工干预。SOAR的自动化编排与响应能力能够实现以下功能：

- 检测用户环境中的威胁；

- 对潜在威胁进行分类；

- 确定是否对事件采取行动；

- 控制并解决问题。

SOAR的这些功能无需人工干预即可实现。安全分析人员不需要按照步骤、说明和决策流程来确定事件是否是合法事件；重复、耗时的操作可以通过SOAR的自动编排与响应功能完成，分析人员可以专注于更重要、增值的工作。

安数云的DCS-SOAR平台

面对海量数据，如何进行精准高效的安全运营，是当前各行业用户重点关注的问题。安数云作为国内专业的云安全整体解决方案及服务提供商，敏锐把握用户需求，推出安数云DCS-SOAR（安全编排自动化响应）平台，通过充分应用SOAR的各项安全能力，为用户提供更高效的智能安全运营管理服务。

安数云认为，业内SOAR平台主要分为三个类型：集成型、独立型、混合型。安数云以混合型切入，安数云DCS-SOAR平台通过资产、事件、漏洞、定时四个维度开展安全编排与自动响应功能，通过组织收集多种来源的数据，并根据纵深防御原则，应用工作流来拉通各种流程和规程。

以资产类响应为例，用户上线资产后，通过资产探测触发剧本，剧本自动与资产管理模块联动、根据资产类型进行分类入库及漏洞扫描、期间通过AI模型引擎进行数据处理及搜集，将需要防护的资产生成对应策略，并添加至SDN服务链进行防护，整套流程全部通过剧本编排做到自动化响应。

除此以外，AI引擎还会提供包括事件管理、告警统计、威胁情报管理、自动巡检，以及功能分析等多种能力。

安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题，面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境，安数云DCS-SOAR平台以安全大脑驱动为核心，建立运营体系，通过OneStep框架实现第三方安全产品的“无门槛接入、低门槛纳管”；通过剧本编排实现自动化快速响应以及网络调度。

安数云DCS-SOAR平台以安全运营为导向，通过态势感知+SOAR+云安全管理等各项功能，协助用户实现低成本的资产管控以及安全运营，达到可视、可用、可管、可控。

得力于DCS-AI安全大脑，安数云DCS-SOAR平台结合多源异构日志采集处理、大数据检索存储，对安全事件应急响应速度提升1200%，对于0day漏洞，也能够快速从情报库中检索，第一时间快速筛查并隔离风险资产。

SOAR平台是网络安全运营趋势

在不断增长且日益数字化的世界中，网络安全面临诸多挑战。威胁变得越来越频繁和复杂，企业需要制定一种高效且有效的安全运营策略，应对安全挑战。SOAR成为安全运营团队管理、分析和应对告警及威胁的新方式。

威胁和告警数量不断增长，资源又不足以应对所有问题，在日常运营中，分析人员需要快速决定哪些告警需要处理，哪些可以忽略，但由于超负荷工作，很可能错过真正的威胁，在应对威胁和恶意攻击时出现误判，最终使网络及数据产生安全泄露，造成无可挽回的损失。

因此，系统化安全编排并通过自动化响应，对于处理威胁告警的过程是至关重要的。通过过滤掉占用过多精力和资源的单调任务，安全运营团队在处理和调查事件时更加有效和高效，从而能够极大地改善整个网络的安全状况。