SOAR

来自通约智库
跳转至: 导航搜索

SOAR是什么?

Gartner 在 2017 年年底对 SOAR 重新进行了定义。由于新的技术与市场逐渐成熟,SOAR 的概念由 SOA(安全自动化与编排)、SIR(安全事件响应平台)与 TIP(威胁情报平台)三部分组成。从实践角度来看,通过自动化编排能力与威胁情报能力,实现风险优化、检测、溯源与响应的行为闭环。

根据安全牛对 Gartner 的总结,理想的 SOAR 系统应该有四方面的能力:

1. 编排能力:将不同的技术整合在一起进行协同工作。

2. 自动化能力:让机器可以像人类一样处理工作。

3. 事件管理与协同能力:人与人之间,不同部门/分组之间成员对事件的协同管理。

4. 仪表板展示能力:将事件、环境信息以可视化的方式提供给相关人员。

一年半过去了,SOAR 产品的完善度似乎未达到理想的地步。大部分厂商的产品都在 SOA、SIR 与 TIP 三个领域中的某一个领域深耕,很少有能够同时提供三个领域能力的厂商。

作为安全界内全球大厂 IBM,他们的 SOAR 产品 IBM Resilient 目前在全球已经有 200 多个大型客户在实际应用。那么,他们的 SOAR 产品又和 Gartner 所提出的理念有什么改进?