SOAR to skrót od Security Orchestration, Automation and Response – czyli orkiestracja, automatyzacja i reakcja w bezpieczeństwie IT.
SOAR to klasa rozwiązań (narzędzi i platform), które:
- Zbierają dane z wielu źródeł bezpieczeństwa (SIEM, IDS/IPS, EDR, firewall, systemy ticketowe).
- Orkiestrują – czyli integrują te źródła i pozwalają zarządzać nimi z jednego miejsca.
- Automatyzują powtarzalne zadania (np. blokowanie IP, resetowanie kont, enrichment IOC-ów).
- Umożliwiają szybką reakcję na incydenty bezpieczeństwa dzięki playbookom (zestawom kroków wykonywanych automatycznie).
Przykłady zastosowań SOAR:
- Automatyczne sprawdzenie podejrzanego maila -> analiza nagłówków, reputacja IP, sandbox.
- Wykrycie komunikacji z C2 -> automatyczny request do firewalla o zablokowanie adresu.
- Enrichment IOC (IP, domena, hash) z VirusTotal, MISP, AbuseIPDB bez ręcznej roboty.
- Automatyczne tworzenie i zamykanie zgłoszeń w systemach typu JIRA/ServiceNow.