What is Security Orchestration, Automation, and Response (SOAR)?
Tooling that automates repetitive parts of investigation and response — like enriching alerts or isolating endpoints.
Security Orchestration, Automation, and Response (SOAR) platforms let security teams automate the repetitive parts of their workflow: enriching an alert with threat intelligence, looking up which user owns an affected device, isolating an endpoint, or opening a ticket. SOAR is usually layered on top of a SIEM. For most organizations, the automation embedded in an MDR service replaces what a dedicated SOAR platform would otherwise do.
- Automates repetitive response steps like alert enrichment, lookups, and endpoint isolation.
- Almost always layered on top of a SIEM rather than used on its own.
- For most organizations, MDR's built-in automation replaces a dedicated SOAR purchase.
En français
Orchestration, automatisation et réponse en matière de sécurité (SOAR)
Des outils qui automatisent les parties répétitives de l'investigation et de l'intervention — comme enrichir une alerte ou isoler un terminal.
Les plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) permettent aux équipes d'automatiser les tâches répétitives : enrichir une alerte avec du renseignement sur les menaces, repérer le propriétaire d'un appareil touché, isoler un terminal ou ouvrir un billet. Le SOAR est habituellement greffé à un SIEM. Pour la plupart des organisations, l'automatisation intégrée à un service MDR remplace ce que ferait une plateforme SOAR dédiée.