最初SOAR这个词最初是Gartner在2015年的InnovationTechInsightforSecurityOperations,AnalyticsandReporting中提出的,此时的SOAR定义还与现在不同,主要是Securityoperations、analytics、reporting。
而现在大家所熟悉的内涵为SecurityOrchestration,AutomationandResponse的新SOAR是Gartner在2017年重新定义的。按照Gartner的说法,新的SOAR是从安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。
2、Splunk。2018年Splunk3.5亿美元收购PhantomCyber,成为其产品中的SOAR组件SplunkPhantom,强化了其安全工具集的能力。SplunkPhantom的核心是可视化剧本编辑器VisualPlaybookEditor。VPE允许开发人员和业务团队构建具有拖放功能的复杂而简单的PhantomPlaybook。可以以图形方式构建剧本,而VPE可以在后台实时生成代码。Splunk还提供PlaybookCanvasandFunctionBlocks,可以为单个工作流程设计特定的自动化流程。
3、Rapid7。2017年rapid7收购了Komand,形成其SOAR产品InsightConnect。InsightConnect使团队无需任何code背景即可使用,提供了290多个插件来连接关键工具并创建自定义工作流程。
5、RSA。RSA的SOAR是作为其SIEM产品RSANetWitness平台的一个组件。它集成了数百种预配置和可自定义的剧本,使团队可以协作,简化和自动化事件响应。并通过威胁情报使SOC可以更好地理解威胁并根据威胁采取行动。它与仅使用其它工作流的解决方案不同,利用威胁情报实现不断适应的丰富上下文和行动手册。支持工作流中的跨团队协调。
7、ThreatConnect。ThreatConnect成立于2011年,提供基于统一平台的威胁情报平台(TIP)和安全编排与自动化(SOA)功能。ThreatConnect可以将情报应用到安全流程和工作流程。它的剧本使用简单的拖放功能自动执行几乎所有网络安全任务。网络钓鱼电子邮件和IP地址指示器等触发器会自动将数据传输到应用程序,以执行一系列功能。
8、Ayehu。Ayehu成立于2007年,是企业级IT流程自动化解决方案的领先提供商。AyehuNG的主要功能是剧本调度,可启用选择性警报来支持事件的远程控制,审计跟踪生成,工作流变更回滚以及基于角色的工作流访问,以维护两个团队(IT和安全性)的访问隔离。此外,AyehuNG使用机器学习来建议剧本和规则的创建。此外,AyehuNG弥合了IT和安全运营(网络运营中心[NOC]和SOC)之间的鸿沟,简化了自动化的工作流程和任务,并解决了IT和安全警报与事件,从而提高了SLA。它可以与ServiceNow,McAfeeESM,SolarWinds等无缝集成,扩展并统一了跨不同系统和应用程序的全面工作流自动化。
9、Swimlane。Swimlane成立于2014年,它的一项关键功能是使用可视化的拖放式操作来表示复杂的工作流程的剧本,Swimlane的剧本可以进行高度定制,以使用适合您现有人员,流程和技术的工作流程来解决几乎任何用例。利用所需的许多自动操作来实施无限的剧本和工作流,而无需支付额外费用。2020年4月,Swimlane收购了Syncurity(Syncurity也是去年Gartner报告中SOAR的vendor),它专注于安全事件响应和案例管理。
11、Cyberbit。Cyberbit成立于2015年,是ElbitSystems的子公司,通过其SOC3D平台提供SOAR。SOC3D基于三项主要功能:编排,自动化和大数据调查,并且包括用于剧本创建和编辑的剧本生成器。Cyberbit还提供用于培训和模拟的CyberbitRange,用于OT可见性和威胁检测的SCADAShield和SCADAShieldMobile,以及用于端点检测和响应的Cyberbit端点检测和响应(EDR)。这些产品可以选择与SOAR平台集成,以进行IT/OT检测和响应。
12、Demisto。Demisto成立于2015年,2019年被被PaloAltoNetworks以5.6亿美元的收购。Demisto的CortexXSOAR的重点一直是通过为SOC分析人员提供单一平台来管理事件,自动化和标准化事件响应流程以及在事件调查方面进行协作,来优化安全操作的效率。它利用机器学习(ML)来支持诸如事件分类等功能,或为SOC分析人员提供下一步建议。CortexXSOAR为分析人员提供了一个作战室,以便他们协作调查事件,并自动记录事件发生后的报告。CortexXSOAR提供强大的事件/案例管理和剧本自动化功能,以及300多种现成的产品集成。
14、ServiceNow。ServiceNow的SOAR产品SecurityOperation是从NowPlatform作为SaaS交付的,并提供工作流,案例管理,业务流程和自动化以及威胁情报管理。附加功能还解决漏洞管理和安全操作指标,报告和仪表板,配置合规性以及治理风险和合规性。
15、D3Security。D3Security根据MITERATT&CK框架或其他战术,技术和程序(TTP)资源,使用自动杀伤链剧本来响应攻击意图。它集成了260多种现成的安全工具。D3已将整个MITERATT&CK矩阵构建到其平台中,以创建ATTACKBOT,这是一个功能强大的工具,可与D3的编排功能协同工作,以检测和破坏高级攻击。当D3检测到MITRE分类的数百种攻击技术之一时,会将其视为可能的“杀伤链”中的链接-敌人可能会采取一些步骤来达到目标。然后,ATTACKBOT协调所有集成系统(例如防火墙,SIEM和端点)中的查询,以发现kill链中其他链接的痕迹。找到更多的攻击要素后,ATTACKBOT可以编排应对手册以应对攻击,或者将有针对性的IOC置于持续的KillChainSurveillance之下以收集更多信息。
SOAR产品一个很重要的特性是集成,既包括与大量第三方安全产品和工具的集成,也包括大量被其它产品安全产品集成,这一点对于国内网络安全生态来说是一个巨大的挑战,这也是很多产品会自己实现一个自己所需要的小型SOAR融入其产品功能的原因之一。