# SOAR (Security Orchestration Automation and Response)

SOAR là viết tắt của Tự động hóa và phản hồi điều phối bảo mật. Nó cho phép các sản phẩm và công cụ bảo mật trong môi trường hoạt động cùng nhau, hợp lý hóa nhiệm vụ của các thành viên nhóm SOC.&#x20;

Ví dụ: nó sẽ tự động tìm kiếm VirusTotal để tìm IP nguồn của cảnh báo SIEM, giảm khối lượng công việc của nhà phân tích SOC.

Một số sản phẩm SOAR thường được sử dụng trong ngành:&#x20;

* Splunk Phantom&#x20;
* IBM Resilient&#x20;
* Logsign&#x20;
* Demisto

<figure><img src="/files/EZA6YrkVfxLVvhV8c2Wi" alt=""><figcaption></figcaption></figure>

## 1. Saves You Time

SOAR tiết kiệm thời gian với quy trình công việc tự động hóa các quy trình.&#x20;

Một số quy trình công việc phổ biến là:&#x20;

* Kiểm soát danh tiếng địa chỉ IP&#x20;
* Truy vấn băm (Hash query)
* Quét tệp thu được trong môi trường hộp cát&#x20;
* …

## 2. Centralization (A single platform for everything you need)

Nó cho phép bạn sử dụng các công cụ bảo mật khác nhau trong môi trường của mình (sandbox, log management, 3rd party tools, etc.) bằng cách cung cấp phần mềm tất cả trong một. Những công cụ này được tích hợp vào giải pháp SOAR và có thể được sử dụng trên cùng một nền tảng.

<figure><img src="/files/GCkZQNvwnJktCcnoxT0z" alt=""><figcaption></figcaption></figure>

## 3. Playbooks

Bạn có thể dễ dàng điều tra các cảnh báo SIEM bằng cách sử dụng playbooks được tạo cho các tình huống khác nhau trong SOAR.&#x20;

Ngay cả khi bạn không biết hoặc không nhớ tất cả các quy trình, bạn vẫn có thể thực hiện phân tích bằng cách làm theo các bước được nêu trong playbooks.&#x20;

Ngoài ra, playbooks này giúp đảm bảo rằng toàn bộ nhóm SOC có cùng quan điểm khi thực hiện phân tích.&#x20;

Ví dụ: tất cả các thành viên trong nhóm cần kiểm tra danh tiếng IP, vì vậy nếu một thành viên trong nhóm không kiểm tra nó và những người khác thì đây là một tình huống không mong muốn. Chúng ta có thể tránh tình trạng này bằng cách thêm bước này vào playbook.

## 4. LetsDefend and SOAR

Bạn có thể coi "Case Management" giống như SOAR. Trên trang SIEM (monitoring), bạn có thể mở phiếu cho các trường hợp bạn đã tạo. Khi nhìn vào trang này, điều đầu tiên bạn nhìn thấy là danh sách các trường hợp mở và đóng.

<figure><img src="/files/I7JijxnN8Xf9ZYjWjhTf" alt=""><figcaption></figcaption></figure>

Nếu bạn nhấp vào bất kỳ trường hợp mở nào, bạn sẽ thấy một playbook được gán tự động. Bạn có thể điều tra cảnh báo SIEM (monitoring) liên quan theo playbook này.

<figure><img src="/files/AWZk1ysqreRhRJyKW9cY" alt=""><figcaption></figcaption></figure>

Cho đến nay, chúng ta đã đề cập đến giải pháp SOAR là gì, nó được sử dụng như thế nào trong môi trường SOC và nó mang lại lợi ích như thế nào cho các nhà phân tích SOC nói chung.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/soar-security-orchestration-automation-and-response.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.