SOAR

SOARとは

SOAR(Security Orchestration, Automation and Response)とは、セキュリティインシデントの監視、理解、意思決定、アクションを効率的に行えるようにする技術です。

セキュリティ管理者が行っているサイバーインシデントに関する一連の検知から対応までの定型的タスクを自動化します。そして、セキュリティインフラ全体を連動させ生産性を向上させます。
一般的に、SIEMと併用されます。

プレイブック(Playbook)とは、ドキュメントやチェックリストなどのインシデントを検証する方法を定義しています。そして、どのように対応するのかも記載されているものです。ランブック(Runbook)とは、プレイブックのデータを自動化ツールに適用する事です。これにより、インシデントをプレイブックによって定義し、プレイブックの対応を自動化します。

定型的な自動化が行われた後は、機械学習が望まれています。インシデントからプレイブックに定義する学習領域に関しても、システム化する動きがあります。