Em linhas gerais, um Security Orchestration Automation and Response (SOAR) é uma solução composta por softwares compatíveis que permitem a uma empresa coletar dados sobre ameaças de segurança a partir de múltiplas fontes e responder a eventos de segurança de baixo nível sem precisar de assistência humana. O objetivo de usar um SOAR é melhor a eficiência da operação de segurança. O termo, que foi elaborado pelo Gartner, pode ser aplicado para produtos e serviços compatíveis que auxiliam a priorizar, padronizar e automatizar funções de respostas a incidentes.

De acordo com o Gartner, as três características mais importantes de tecnologias de SOAR são:


Gerenciamento de Vulnerabilidades e Ameaças

Essas tecnologias dão suporte a remediação das vulnerabilidades. Elas também fornecem fluxos formais de atuação, relatórios e funções de colaboração.


Resposta a Incidentes de Segurança

Essas tecnologias suportam como a empresa planeja, gerencia, monitora e coordena a resposta aos incidentes de segurança.


Automação de Operações de Segurança

Essas tecnologias fornecem suporte a automação e orquestração de fluxos de trabalho, processos, execução de políticas e relatórios.

Ao passo em que tanto o SIEM quanto o SOAR servem para agregar dados relevantes de diferentes fontes, o SOAR deve integrar uma gama mais ampla de aplicações internas e externas. De acordo com o gartner, deveremos observar no futuro um movimento dos principais fabricantes de SIEM no sentido de incorporarem a essa tecnologia capacidades de SOAR, de forma que o mercado para essas soluções acabe convergindo.