重新定义SOAR

在2020年，笔者讨论了从2015~2020年间Gartner对SOAR定义的变迁，列举了Gartner的7个SOAR定义，并对定义的变化给出了笔者自己的解读。

如今，两年过去了，SOAR在中国已经得到了广泛的认同，并正在落地生根。回顾这两年SOAR在中国的实践，环顾国际SOAR市场发展变化，面向未来，是时候再次重新定义SOAR了。

持续研究Gartner对SOAR的定义

SOAR诞生于Gartner之手，让我们继续从Gartner开始。

定义8【2020年，SOAR市场指南】：SOAR是将事件响应、编排与自动化，以及威胁情报管理整合到一个平台之下的解决方案。SOAR工具用于记录和实现过程（譬如剧本、工作流和流程），支撑安全事件管理，为人类安全分析师和运营人员提供机器协助。工作流（譬如事件分诊、事件响应、威胁情报加工与管理、合规监测与管理）可以与其它技术的集成实现编排，并通过自动化去达成预期的目标。

SOAR are solutions that combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single platform. SOAR tools are also used to document and implement processes (aka playbooks, workflows and processes); support security incident management; and applymachine-based assistance to human security analysts and operators. Workflows can be orchestrated via integrations with other technologies, and automated to achieve desired outcomes.

定义9【2021年，安全运营炒作曲线】：SOAR是一种技术方法，它将事件/案例管理、工作流、编排和自动化、响应和威胁情报管理结合在一个平台中。事件管理允许知识捕获和管理，以及工作流映射。编排和自动化为人工主导的过程和工作流程增加了机器辅助。威胁情报管理允许收集、处理和分发情报的策划和自动化。

SOAR is a technology approach that combines incident/case management, workflows, orchestration and automation,response and threat intelligence management in a single platform. Incident management allows for knowledge capture and management, along with workflow mapping. Orchestration and automation adds machine assistance to human-lead processes and workflows. Threat intelligence management allows for the curationand automation of ingesting, processing and distributing intelligence.

定义10【2021年，GTP团队】：SOAR是一个在技术或非技术的操作中提供自动化以协助人执行安全运营任务的平台。

SOAR is a platform that can add automation to technical and non-technical actions, assisting humans as they perform security operations tasks.

定义11【2021年】：SOAR平台是一个为安全运营人员履行某些职责时提供机器辅助的解决方案。SOAR平台可为安全操作的许多方面提供价值，例如警报监控、事件响应、案例管理、威胁情报和合规性。

Gartner deﬁnes SOAR platforms as solutions that add machine assistance to human security operators as they execute certain duties within their teams. SOAR platforms can deliver value to many aspects of security operations, such as alert monitoring, incident response, case management, threat intelligence and compliance.

定义12【2022年】：SOAR 平台是在单个平台中结合事件响应、编排和自动化以及威胁情报（TI）管理功能的解决方案。

SOAR platforms are solutions that combine incident response, orchestration and automation, and threat intelligence (TI) management capabilities in a single platform.

分析上述定义，可以发现，从2020年至今，SOAR的定义基本稳定，仅在措辞上进行了一些完善：

1）继续将SOAR看成一个解决方案；

2）继续强调SOAR的核心目标是为安全运营人员提供机器辅助和自动化，以提升他们的工作效率。而这种自动化是通过对流程的编排（即剧本）来实现的。

3）继续确认SOAR是由SIRP、SOA和TIP三个部分组成。

用笔者自己的话来解读SOAR，就是：人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标。

国外SOAR发展方兴未艾，新的应用场景不断涌现

近几年，在国际上，我们看到很多SIEM厂商纷纷加码SOAR，或者通过收购，或者通过自研，将SIEM的功能扩展到SOAR的领域，有的将SOAR作为SIEM的一个功能，有的将SOAR与其SIEM甚至TIP等系统打包成安全运营套件。笔者做过分析，几乎所有2021年Garnter SIEM魔力象限中的厂商都具备SOAR功能或产品，他们纷纷发起对独立SOAR厂商的收购。放眼国内，大部分SOAR提供商都同时是SIEM/安管平台/态势感知平台提供商，并且多是同一个团队在后面进行研发。

因此，很多人可能不禁会问：是否未来SOAR将成为SIEM/安管平台的一个部分？独立SOAR厂商/产品是否会消亡？

其实，如果有心的话，可以看到这几年独立的SOAR厂商依然像雨后春笋般涌现。并且，这些新兴厂商开发了很多应用场景，已经超越了SIEM/安管平台所能覆盖的范畴。

笔者认为，在3到5年内，SOAR会不断与SIEM/安管平台进行多种形态的整合，甚至还会跟其他多种产品（譬如XDR、DLP、零信任）进行整合，但独立的SOAR会依然存在，并且会与SIEM/安管平台越来越不相同。但无论如何，SIEM/安管平台和SOAR都是安全运营中的组成部分，这一点不会变。【有关SIEM和SOAR的关系，以后会专文论述】

正如Gartner最新发布的SOAR报告所言，SOAR与SIEM是一个交集的关系，二者的交集在于威胁检测与事件响应。也就是说，SOAR的应用场景除了威胁检测与响应，还有其他超越SIEM的应用场景。

可以说，只要是安全运营工作，都可以通过编排和剧本去实现（部分）自动化。譬如员工入职后的各系统开通，员工离职时的各系统账号清除，堡垒机账号梳理，零信任中的持续行为评估，HVV准备工作，安全中台的能力编排，等等。

从这个角度来说，在把SOAR局限于安全事件响应显然是小看SOAR了，在构成SOAR的三个部分：SOA，SIRP和TIP中，SOA的重要性越来越凸显。所以笔者一直强调，响应是SOAR的一个场景，尽管是最重要的场景，但也仅仅是一种场景。编排才是SOAR的核心，编排让SOAR具备了更多的可能性。

在2022年4月，Forrester发布了新一期SOAR的技术市场报告，其中，对SOAR的定义如下。

定义13【2022，Forrester】：SOAR是一种将跨安全和业务生态系统的第三方工具集成到一起的自动化技术，实现对安全事件的分诊、协调，并采取基于剧本的协同行动。

SOAR is Automation technology that integrates with third-party tools across the security and business ecosystem to triage, coordinate, and take coordinated, playbook-based action to security events. The goal of SOAR technology is to make security operations faster, less error-prone, and more efficient.

在2021年底，DHS的CISA发布的2022年到2026年战略性技术路线图中，将SOAR列入其中。

定义14【2021，CISA】：SOAR使用与组织中（或者与这些组织相连）的安全传感器和其它技术平台的连接来自动执行安全操作。SOAR技术可以配置为一系列操作组成的剧本或者工作流。这些操作包括响应动作，譬如告警分诊、隔离用户会话、运行漏洞扫描、开具工单、更新签名、警告分析师等。

SOAR technologies automate security actions using connections to security sensors and other technology platforms in (or connected to) an organization. SOAR technologies can be configured to execute playbooks or workflows that consist of a series of actions, including response actions (e.g., triage a list of alerts, quarantine a user session, run a vulnerability scan, open a ticket, update a signature, alert an analyst).

可以看到，Forrester和CISA同样认为编排是核心，而响应是一种应用场景。

国内SOAR实践越来越多，独特性越发显现

正如笔者在《SOAR：从旁观者到参与者，越来越多客户入场》一文中所述，目前中国客户（尤其是头部客户）对SOAR正在迅速从旁观者向参与者转变。越来越多的中国用户开始落地SOAR，越来越多的中国厂商发布SOAR产品或者模块。近两年赛迪咨询都对用户使用SOAR的情况和意愿进行过调研，SOAR已经成为安全运营建设时考察的关键能力之一。而根据Gartner对中国的安全运营市场进行过调研，以及数世咨询、安全牛、嘶吼等发布的安全全景图，可以发现提供SOAR能力的厂商大幅增加。

根据笔者对中国市场的观察以及深入实践，可以发现一些不同于国际市场的特点：

1）正如笔者在2020年所言，SOAR在国内落地的时候，基本上将TIP（威胁情报平台）作为一个外部系统进行集成而非作为一个内在的功能集合。国内客户基本上都将TIP看作一个独立的基础性、支撑性产品/平台，为SIEM、安管平台、态势感知、SOAR，甚至安全设备等提供情报赋能。因而，客户在考虑威胁情报的时候，通常不会咨询SOAR产品厂商，甚至都不会咨询安管平台/态势感知平台的提供商。这并不是说SOAR与TIP之间没有关系。一方面，SOAR在进行告警和安全事件调查的时候需要利用威胁情报进行辅助研判，并可以将这个研判过程编排化、自动化；另一方面，也是往往容易忽略掉的，在于SOAR、尤其是编排自动化有助于提升TIP自身的运营水平，譬如内生情报的产生。可以说，目前国内的TIP的运营化水平都还比较初级。因此，基于国内的现状，国内的SOAR平台更多是与TIP进行松耦合的解决方案集成，而非将TIP作为SOAR的一个/组模块功能。

此外，Garnter将TIP植入SOAR还有一个原因，就是美国政府（包括民事和军事）在实践SOAR的时候首先从威胁情报的共享和基于情报的响应这个应用场景开始的。

2）中国的平均安全运营水平低于国外（尤其是美国）,在落地SOAR的时候有些理念存在不同。一般来说，客户要想使用SOAR，首先应该有相匹配的安全运营成熟度，尤其是存在固化的安全运营流程，譬如有SOP（标准操作规程)，有相对固定的运营人员。一旦客户具备前述条件，对SOAR的需求就是自然而然的一件事，使用SOAR的过程就是将现有的流程转述到SOAR中，形成剧本，提升现有运营人员的工作效率。Gartner反复强调这点，并建议低运营水平的客户去寻求MSS的帮助，购买效果导向的服务而非SOAR产品。

笔者认为，上述观点没有毛病。但国内的客户就应该先闷头提升运营流程和人员，再考虑SOAR吗？或者说，SOAR的应用能否为部分客户的运营水平提升提供帮助？其实，这个问题的答案就跟我们经常说的“三同步”是相通的。对于那些注定需要自建安全运营能力的客户而言，如果他们已经有了运营团队（尽管可能很小），有了宏观的安全流程并且运营团队实际在开展运营工作（尽管可能没有SOP），那么虽然此时距离使用SOAR所需的成熟度还有一些差距，但这时候使用SOAR得当的话，是有助于反向提升运营水平的。

譬如，在对安全告警进行响应的时候，尽管没有现成的SOP，但有基本的流程（尤其是岗位和部门间职责界定相对清晰），就可以借鉴SOAR厂商提供的剧本模板和样例，借鉴业界的最佳实践，结合自身的需要，创建或者完善某个具体的事件响应流程。或者，还可以不从剧本入手，而从使用应用（App）、快速调用App的动作入手，降低工具切换的时间成本，先稍微缓解告警处理疲劳；然后再从实战中总结这些动作/操作的规律和经验，提取剧本，从而降低后续同类工作的时间成本。再者，可以先通过工具化的SOAR将一些简单的重复性工作自动化，形成几个经典实战化应用场景，真正提升运营团队的工作效率，拿出看得见的效果和度量指标，进而说服管理层提升对安全运营工作的重视程度，加大流程建设、队伍建设、自动化运营建设的投入。

重新给SOAR一个定义

结合上述对Gartner的SOAR历史沿革的分析，对国内外SOAR最新发展和应用动态的分析，笔者提出一个全新的SOAR定义：

安全编排自动化与响应（SOAR)系统是一系列提升安全运营效率的技术集合。它在安全运营流程和规程的指引下，将与安全运营相关的第三方工具通过编排整合到一起，以自动化和高交互的形式辅助安全运营人员开展安全运营工作，并内建对安全事件的采集、分诊与响应。

SOAR以安全编排和自动化为核心，以安全事件响应为必备应用场景，充分利用威胁情报，辅助安全运营人员高效开展各项安全运营工作。

SOAR在现有以数据为中心的安全运营框架基础之上增加了一个以流程为中心的编排层，进一步完善和丰富了安全运营的体系，将人、流程、技术和工具整合到一起，提升了安全运营的实战化水平。

SOAR时代已到，未来可期！

【参考】

Forrester：2022年SOAR技术市场报告

SOAR：从旁观者到参与者，越来越多客户入场

Gartner对SOAR的定义不断变化

安全编排自动化与响应（SOAR）技术解析

深入研究SOAR的核心能力——安全编排与自动化