SOAR (Security Orchestration, Automation and Response) — класс программных продуктов, предназначенных для оркестровки систем безопасности, то есть их координации и управления ими. В частности, решения класса SOAR позволяют собирать данные о событиях информационной безопасности из различных источников, обрабатывать их и автоматизировать типовые сценарии реагирования на них.
Решения класса SOAR объединяют другие защитные решения в единую систему, избавляя специалистов по безопасности от необходимости управлять каждым из них в отдельности, и помогают сфокусироваться на анализе сложных инцидентов.
Функциональные возможности решений класса SOAR
Сбор данных о потенциальных инцидентах. SOAR-системы способны агрегировать и обрабатывать ИБ-сигналы из множества источников, в число которых входят:
- SIEM-решения;
- Антивирусы и другое ПО для защиты конечных точек;
- DLP-продукты;
- Платформы для анализа угроз (Threat Intelligence);
- Система для анализа поведения пользователей (UEBA-решения);
- Межсетевые экраны;
- Службы каталогов ОС.
Анализ инцидента. При помощи автоматических сценариев или в ручном режиме решения класса SOAR дополняют информацию о киберинциденте данными из внешних баз, записей об аналогичных событиях и других источников. Также на этом этапе формируется перечень затронутых инцидентом объектов и устройств.
Идентификация и классификация угроз. На основании комплексного анализа полученных данных SOAR оценивает состояние инфраструктуры, выделяет потенциально небезопасные события, ранжирует их по степени риска и информирует о них специалистов. При необходимости система изолирует зараженные устройства, чтобы не допустить дальнейшего распространения атаки, или принимает иные меры, соответствующие политике компании.
Реагирование на инциденты. На основании информации об инциденте SOAR выполняет набор действий, необходимых для устранения угрозы или минимизации ее последствий. Это могут быть команды другим ИБ-продуктам, дистанционное удаление вредоносных объектов, восстановление ключей реестра и другие действия.
Визуализация данных и формирование отчетности. Большинство решений класса SOAR способны представлять сводную информацию о киберинцидентах по подразделениям компании, конечным точкам, программным продуктам или конкретным сотрудникам. Отчетность о текущем уровне безопасности организации формируется в виде наглядных диаграмм или информеров, обновляемых в режиме реального времени.
Разница между SOAR и SIEM
Решения для управления событиями и информацией о безопасности (SIEM) во многом похожи на SOAR-решения, в результате чего одно понятие иногда подменяют другим. Однако между ними есть существенная разница: в то время как SIEM-решения нацелены на сбор информации и ручное управление инцидентами, SOAR-системы рассчитаны на автоматизацию и оркестровку работы нескольких различных систем информационной безопасности, в частности, на этапе реагирования. В результате SIEM-решения отлично дополняют SOAR в качестве источника информации о событиях.