SOAR (sécurité informatique)

L'« orchestration » relie les différents outils et systèmes de sécurité du système d'information. Elle intègre des applications personnalisées avec des outils de sécurité intégrés, de manière à ce qu'elles fonctionnent toutes les unes avec les autres. Elle relie également l'EDR, les pare-feu et les outils d'analyse du comportement^[4].

L'« automatisation » prend l'énorme quantité d'informations générées par l'orchestration et l'analyse grâce à des processus d'apprentissage automatique. Le SOAR prend en charge une grande partie des tâches manuelles d'analyse des journaux et peut également gérer les demandes de tickets, les vérifications de vulnérabilité et les processus d'audit^[4].

La « réponse aux incidents » permet aux équipes de sécurité de réagir lorsqu'une menace potentielle est signalée. Ce composant gère également les activités post-incident telles que le partage de renseignements sur les menaces de manière automatisée^[4].

Le SOAR permet aux administrateurs sécurité de définir les incidents potentiels et la réponse à y apporter grâce au playbook et au runbook^[2].

Le « playbook » est un document qui décrit comment vérifier un incident de cybersécurité et comment y répondre. L'objectif du playbook est de documenter ce que le runbook doit faire. Il peut servir de sauvegarde manuelle en cas d'échec du SOAR^[2].

Le « runbook » met en œuvre les données du playbook dans un outil automatisé afin qu'il effectue des actions prédéfinies pour atténuer la menace^[2].

• Portail de la sécurité des systèmes d'information