隨著網絡安全攻防對抗的日趨激烈，簡單的網絡安全防范和阻止策略已不足以應對現有的網絡攻擊，企業和組織更加注重在網絡安全檢測與響應方面的防范工作，即在網絡已經遭受攻擊的假定前提下構建集檢測、響應和預防于一體的全新安全防護體系。

由此，安全編排自動化與響應（以下簡稱“SOAR”）應運而生，Gartner將SOAR定義為“安全事件響應平臺、安全編排與自動化以及威脅情報的集合，通過安全運行任務中技術性和非技術操作的（部分）自動化，助力提升安全運行人員的工作效率”。

天融信SOAR解決方案

基于在網絡安全領域的持續積累，天融信圍繞安全編排與自動化技術展開設計，將多方安全能力串聯成一套針對安全運營過程自動化響應的解決方案。該方案以天融信數據中臺為底層支撐平臺，通過對數據的采集、建模、分析、計算，以SOAR為核心技術手段，實現終端安全、漏洞掃描、威脅情報等安全資源統一整合與管控，打破安全資源之間的孤島格局，進行整體安全策略自動化編排，統一向業務系統提供聯動服務。

1、安全運營-可知、可控、可管、可查

通過協同安全防護體系，提升內外部風險感知能力、協同安全防護能力、攻擊檢測分析能力、違規行為發現能力、應急事件響應能力和態勢感知預警能力，確保大數據全程可知、可控、可管、可查。除此之外，天融信SOAR方案將人、流程、數據、安全資源有效整合在一起，實現安全管理流程一體化，主要解決了失陷終端的研判與處置、復雜威脅的交互式實時調查、威脅事件的快速響應與決策、異常行為的告警和審核等典型安全運營問題。

2、威脅風險-自動化響應編排

響應編排可實現根據設定好的策略規則自動驅動防護設備進行攻擊阻斷操作，在面臨多種威脅攻擊的時候，降低安全運營難度，提升效率。系統采用智能關聯分析技術從海量數據中提取安全日志，安全日志作為基礎數據，為場景分析和策略編排提供支撐。系統支持通過告警日志、威脅情報、漏洞等相關數據進行組合場景編排，不同場景快速關聯控制策略及執行設備，實現自動化威脅處置能力，大大提升威脅處置效率。

3、劇本管理-可視化編程

通過預定義的工作流（Workflow）和劇本（Playbook）來標準化事故的調查處置流程，提升威脅響應的自動化程度和執行效率。以界面化的圖形拖拽實現安全劇本流程的可視化編排，可自定義編排動作聯動的具體安全資源，并提供編排流程需要的內置動作，如人工審批、定時執行、循環判斷等，輔助安全人員建立合理的工作流程。

方案價值

● 智能化滿足合規要求。通過豐富的模型編排、場景設置對安全事件做出高效的發掘和應對。智能化的模型編排、算法優化使數據保護符合多場景的應用，大大提升入侵檢測處置的能力，滿足法律法規要求。

● 自動化降低企業成本。通過引入自動化手段提升效率，減少了應急響應人員的投入。SOAR的核心目標是為安全運營人員提供機器輔助和自動化，以提升安全運維人員的工作效率，而這種自動化是通過對流程的編排（即劇本）來實現。

● 協同化提升實戰能力。SOAR在現有以數據為中心的安全運營框架基礎之上增加了一個以流程為中心的編排層，進一步完善豐富了安全運營的體系，將人、流程、技術和工具整合，提升了安全運營的實戰化水平。

天融信SOAR技術可與大數據分析平臺等產品組合使用，豐富SOAR系統能力，實現自動化分析處置、實時策略下發、聯動設備響應、數據交互與業務同步，增強決策能力。結合天融信在大數據分析方面的技術積累與優勢，SOAR技術的應用解決了失陷終端的研判與處置、復雜威脅的交互式實時調查等典型安全運營問題，進一步推動自動化安全運營能力的落地，極大地提高了應急響應能力與安全運營效率。

基于在網絡安全服務領域長期的技術積累、優異的自動化安全運營能力，以及智能化模型編排能力，天融信SOAR方案實力入編《企業安全運營自動化（SOAR）應用指南》代表性安全廠商方案，獲權威機構高度認可。據報告顯示，國產SOAR產品已經逐漸成熟完善，國內大型用戶對SOAR的認知度和接受度也明顯提升，預計未來三年，SOAR產品市場將快速發展。

天融信作為國內網絡安全企業，深耕網絡安全領域27年，緊跟國家戰略發展。未來，天融信將進一步深耕SOAR技術，實現將安全數據、安全事件案例、標準化工作流和人工分析相結合，使組織能夠實施復雜的縱深防御能力，從而推動安全運營效率更高，更進一步幫助安全團隊將無窮無盡的安全告警迅速收斂形成有效的安全事件、盡可能地自動化處理安全事件。