是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品 SOAR是新一代安全运营中心的必要能力奇

　　在RSAC2020期间，奇安信基于丰富的实战化安全运营能力，在国内主流安全厂商中率先发布安全编排自动化与响应(SOAR)产品，帮助客户大幅提升安全检测和响应的效率，实现安全运营从“手动挡”的时代迈向“自动挡”时代。

　　SOAR是新一代安全运营中心的必要能力

　　奇安信安全专家表示，新一代安全运营中心一直都强调安全运营过程的闭环，从自适应安全架构的角度来看，新一代安全运营中心要对防护、检测、响应和预测四个阶段进行持续的监测与评估，要确保能够持续及时地发现问题，并处理问题。

　　近些年来，人们对检测技术十分重视，包括新一代安全运营平台在内的各类平台系统都极大地增强了其检测能力。借助新型检测产品和技术，用户获得了更低的MTTD(平均检测时间) ，能够更快更准确地检测出攻击和入侵。不过，更快地检测出问题仅仅是第一步，如何快速地针对这些威胁进行响应处置，降低MTTR(平均响应时间)的重要性就更加凸显，而这也是新一代安全运营中心系统必须面对的问题。

　　在响应环节，安全运维与响应人员面临的挑战巨大。一方面是响应过程涉及到大量分散的设备和系统，但威胁处置需要不同的安全设备之间的协同联动，依靠人工操作耗时费力;另一方面是响应人员匮乏，技能水平受困于重复性劳动难以提升，而优秀的运维响应工程师的经验也难以形成标准化的流程和动作，从而限制了整体的响应和处置效率。

　　SOAR正是顺应这个趋势发展出来的一组新的安全能力的统称，旨在快速检测威胁、减少安全人工分析投入、做到快速响应，以提高安全运营的效率。通过在安全运营中心实现SOAR ，不仅可以完善安全运营中心的安全响应的能力，尤其是编排和自动化能力，以及响应管理能力，并且能在整体上提升安全运营中心的效能，包括安全事件调查分析(含MTTD)的速度、安全响应(MTTR)的速度、将分散的安全系统整合的能力，以及安全运维人员的工作效率。

　　告别“手动挡” ，四大特性大幅提升响应处置效率

　　据介绍，奇安信SOAR基于实战化安全运营出发，主要为客户提供安全编排与自动化、告警管理、案件管理、工单管理四大功能。它能够帮助企业和组织将繁杂的安全运营(尤其是安全响应)过程梳理为任务和剧本，把分散的安全工具与功能转化为可编程的应用和动作，并且借助编排和自动化技术，将团队、工具和流程的高度协同起来。

　　奇安信SOAR产品具有以下关键特性：

　　安全能力编排化：通过剧本管理、应用管理、动作管理等功能，将客户分散的安全能力和安全运维响应的过程标准化，形成剧本库和应用库(动作库) ，实现团队、工具和流程的整合与协同联动。这些标准化流程可以被随时调用，减少了人工的干预，大幅提升应急处置的效率。