SOAR (Security Orchestration, Automation, and Response), bilgi güvenliği bilgilerini toplamak, düzenlemek, standartlaştırmak ve otomatikleştirmek için geliştirilmiş bir dizi sistemdir.
İnternet üzerindeki veri miktarının artmasıyla birlikte, artan tehditler arka planında elde edilen çeşitli ve büyük miktardaki verilerin organize edilmesi ve raporlanması zorlaşmaktadır. SOAR, bu veri çeşitliliği ve hacmi arttıkça, tehditlere müdahale kabiliyetlerini artırarak iş süreçlerini kolaylaştırmaktadır.
NOC (Network Operations Center) ve SOC (Security Operations Center) gibi 10 veya daha fazla çalışana sahip ekipler, SOAR ve SIEM (Security Information and Event Management) kullanmalıdır.
SOAR kavramının temelinde iki önemli bileşen yer almaktadır: otomasyon ve orkestrasyon.
Otomasyon, manuel süreçlerin otomasyon ortamında hızlı ve hatasız bir şekilde uygulanmasıdır, orkestrasyon ise çeşitli bilgi güvenliği uygulamalarının ve hizmetlerinin bir araya getirilmesi ve entegrasyonudur.
Saldırılar giderek daha sofistike hale geldikçe, tehdit istihbaratı da hızlanmalıdır. SOAR ile daha hızlı öğrenme ve daha hızlı tepki süresi elde edilebilir. SOAR, şüpheli etkinliklerin tespit edilmesini kolaylaştırır ve yanıt süresini kısaltır. Veri kaynaklarından gelen bilgileri birleştirerek işlemlerin verimliliğini ve etkinliğini artırır ve yanıtları otomatikleştirir. Sonuç olarak, SIEM olayları analiz eder ve sonuçları bildirirken, SOAR olayları anlar ve karşı önlemler alır.
