SOAR - инструментарий, позволяющий сводить получаемые из разных источников данные об угрозах безопасности для последующего анализа. SOAR автоматизирует этот процесс — от назначения приоритета до работы с шаблонными «ответами» на инциденты. Что напрямую относится к работе SOAR:
- Оркестровка (Orchestration) — интеграция технологий и инструментов для принятия решений на основе информации об уровне риска и состоянии системы.
- Автоматизация (Automation) — для замещения задач, которые ранее выполняли «вручную», автоматическими действиями со стороны системы по заготовленным сценариям (playbooks).
-
Управление киберинцидентами и совместная деятельность (Incident management and collaboration) — сквозной подход по работе с «назначением приоритета», «протоколированием действий» и «принятием решений на основе политик компании».
- Формирование отчётов (Dashboards and reporting) — визуализация информации по ключевым метрикам и составление сводок для трёх типов сотрудников — аналитиков, руководителей SOC и директоров по ИБ (Chief Information Security Officer, CISO).