1、认识soar

　　SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全运维分析与报告”。

 　　随着安全技术与市场的演变，SOAR的定义也发生了变化。近些年，国内外安全厂商将重点都放在未知威胁检测上，但随着网络对抗的日益激烈，单纯提升检测能力已满足不了需求，客户需要的是集识别（Identify）、防御（Protect）、检测（Detect）、响应（Response）和恢复（Recovery）于一体的安全防护系统，即“IPDRR”。在这样的背景下，2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”，即“安全编排自动化与响应”。

 　　Gartner认为SOAR由三种技术融合而成，包括安全事件响应平台（SIRP）、安全编排与自动化（SOA）和威胁信息平台（TIP）。SOAR影响IPDRR的多个环节，但主要聚焦在RR（响应和恢复）阶段。

　　总的来说，SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队检测到的各种信息，并对这些信息进行事件分析和告警分诊。然后在剧本（Playbook）的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

市场

　　随着全球安全产业的发展，SOAR在市场上逐步走向成熟，SOAR更多是作为一种能力被融入到其他安全产品之中，例如安全运营中心（SOC）、安全信息和事件管理（SIEM）、托管检测和响应（MDR）等。在迅速成长的MDR中，SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR，以提升对事件的响应能力。独立的SOAR产品也有一定市场空间，相对于内置的SOAR，客户更看重其灵活性和中立性。

SOAR的客户价值

● 提升安全运营效率以及事件闭环率

通过编排，SOAR将调查取证、处置、通知等多个环节整合在一个工作流里，自动化调度运行，减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁，SOAR的自动化能力有助于提升整体安全运营效率。

 ● 积累安全运营经验

通过剧本编排，可以将威胁处置的过程转变为工作流并记录保存，借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充，可供安全专家参考分析。

 ● 提升整合能力

SOAR能够把环境中现存的安全产品整合在一起，实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统，使其发挥更大的价值。

 ● 提升需求满足敏捷度

在硬编码模式下，客户新业务的需求往往要依赖版本升级才能够实现， 在内部部署（OP）场景下版本迭代周期长，客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征，安全运营团队很容易就能实现工作流创建和改进，帮助客户实现需求变化敏捷落地。

 此外，SOAR的作用在安全托管服务中体现的尤为明显，因为它可以显著提升威胁处置的速度和一致性，从而提升服务级别协议（SLA）规定的服务水平。