# SOAR

Security Orchestration, Automation, and Respone

> Giả dụ bạn là SOC Manager, bạn thức dậy và thấy một loạt cảnh báo bảo mật, được tạo từ cùng một ứng dụng của bạn và bạn đang nghĩ, "Where do I start from?" (phải bắt đầu từ đâu), Làm cách nào để ưu tiên cảnh báo nào cần giải quyết trước. Bạn nản lòng, vì cho rằng SIEM là đủ. SIEM không phải là hoàn hảo.

SOAR là một layer bảo vệ bổ sung, bạn có thể thêm vào SIEM của mình để nang cao khả năng của SIEM.

SOAR giống như thêm một cánh cổng xung quanh tòa nhà của bạn, rằng đã có nhân viên bảo vệ rồi, và thậm chí cả mã bảo mật để có quyền truy cập vào từng cửa.

SOAR là sự hội tụ của các công nghệ sau:

* Security orchestration and automation (SOA) -  Điều phối và tự động hóa bảo mật
* Security incident response platforms (SIRPs) - nền tảng ứng phó sự cố bảo mật
* Threat intelligence platforms (TIPs) - nền tảng tình báo mối đe dọa.

<details>

<summary>Components of SOAR (các thành phần)</summary>

* `Orchestration` (điều phối): tự động quyết định lấy dữ liệu nào từ các nguồn khác nhau để tạo ra bức tranh bảo mật hoàn chỉnh hơn.
* `Automation` (Tự động hóa): Tự động tạo đường dẫn (path) xác định cho việc điều tra mối đe dọa và ứng phó sự cố.
* Response (Ứng phó): tự động ứng phó các mối đe dọa để thực hiện hành động mang tính quyết định.

</details>

Giải pháp SOAR không phải là sự thay thế cho SIEM (SIEM != SOAR)

SIEM và SOAR giống nhau ở chỗ là chúng thu thập, tổng hợp và phân tích dữ liệu từ các nguồn khác nhau.

<figure><img src="/files/Pmyp4IyyYsrh64UMDX1a" alt=""><figcaption></figcaption></figure>

<details>

<summary>Differences between SIEM and SOAR</summary>

* Trong khi SIEM đưa ra cảnh báo và chờ đợi hành động từ đội an ninh, còn SOAR ứng phó tự động.
* Với việc phân loại cảnh báo thủ công SIEM là bắt buộc trong khi việc này được tự động hóa ở SOAR.
* Công cụ phân tích trong SIEM phải được điều chỉnh thủ công để phân biệt giữa các mối đe dọa độc hại và lành tính. Mặt khác với SOAR việc này được tự động hóa.
* Các giải pháp SIEM có xu hướng tạo ra nhiều cảnh báo hơn dẫn đến mệt mỏi giữa các nhà phân tích bảo mật. Khả năng điều phối và tự động hóa của SOAR làm giảm các cảnh báo fatigue.
* Nguồn thu thập dữ liệu cho SIEM được giới hạn nghiêm ngặt trong mạng, endpoints, cloud, and application. Nhưng đối với SOAR điều này cũng có thể cần đến sự can thiệp của con người để đưa ra quyết định nhanh chóng nhằm ngăn chặn các mối đe dọa.

</details>

<figure><img src="/files/0OQu5iKQGcnGHMA2B51A" alt=""><figcaption></figcaption></figure>

Về bản chất, SOAR làm cho giải pháp SIEM hiệu quả hơn. Bằng cách xây dựng các chức năng của SIEM, SOARs có thể cung cấp tự động và điều phối ứng phó thông qua việc nhận dạng, chính sách ngăn chặn, sự tiêu diệt, và các giai đoạn phục hồi mà không cần sự can thiệp của con người. Họ cùng nhau tạo ra các cảnh báo đáng tin cậy và có thể hành động hơn đội bảo mật có thể đáp ứng một cách hiệu quả. Sự tích hợp giưac SIEM tools và SOAR solutions dẫn tới việc tạo ra một cơ chế hiệu quả mạnh mẽ hơn cũng như ứng phó bảo mật.

Trong sơ đồ trên, ta có thể thấy rằng trong khi SIEM thu thập, tương quan, xác định, và cảnh báo cho mục đích bảo mật, mặt khác SOAR tận dụng sức mạnh của playbooks, machine learning, case management, and progressive automation để tăng cường khả năng tình báo mối đe dọa của các đội an ninh.

Việc triển khai SOAR phụ thuộc vào môi trường, và sẽ bao gồm các tổ chức cá nhân, an ninh mạng cần có, mục tiêu, và ngân sách.

<details>

<summary>Các yếu tố cần xem xét</summary>

1. Dễ sử dụng và tích hợp với các công cụ khác
2. Khả năng linh hoạt của workflow and playbook
3. Khả năng tích hợp tùy chỉnh
4. Phân loại cảnh báo và điều tra
5. Quản lý tình báo
6. Quản lý case
7. Playbooks được xây dựng sẵn và có thể tùy chỉnh
8. Bảng thông tin báo cáo và phân tích

</details>

<details>

<summary>Implementation of SOAR</summary>

* Open source: miễn phí và cung cấp các tùy chọn linh hoạt và tùy chỉnh. Ví dụ: OSSIM, OSSEC, SIEMonster, Security Onion.
* Commercial (lựa chọn thương mại): Chúng cung cấp hỗ trợ các tính năng nâng cao, và tích hợp các công cụ bảo mật khác. Ví dụ: Splunk, Rapid7, Resolve, ServiceNow, Siemplify, Swimlane, Syncurity, ThreatConnect, ThreatQuotient.
* Cloud-based platforms: cung cấp khả năng mở rộng và dễ dàng triển khai

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/siem/2.-related-technologies-and-systems/soar.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.