在安全运营的道路上，有五座大山：

第一山：人员。人力不足，技能有限，工作量饱和。

第二山：响应。告警数量多，处置不及时；存在大量误报，导致“告警疲劳”。

第三山：效率。操作步骤多，响应时间长，难以及时止损。

第四山：经验。知识经验缺乏传承，无法积累。

第五山：协同。工具碎片化，人、工具、流程三者之间协同不足。

山山难过，山山过

安全运营人员

手持一把劈山开路的利器——SOAR

在这条路上奋勇前进

SOAR（安全编排自动化与响应）是将安全运营相关的团队、工具和流程，通过自动化编排技术整合在一起，有序处理多源异构数据，提供告警分诊与调查、案例处置、协同作战、事件响应等能力，并最终实现高效运营的智能协作系统。

提到SOAR，很多人会不自觉陷入两个误区：

认为SOAR等同于可视化编排技术。× 编排不是SOAR的目的，而是手段。SOAR的真正目的，是服务于安全运营流程。

认为SOAR可以代替安全运营人员。× SOAR不是代替人，而是帮助人提高效率，它能更快、更好地执行决策与处置流程。

需要强调的是，SOAR服务于安全运营！√

基于SOAR，安博通正式发布网络安全智能运营与协同响应平台，以案件为中心，实现自动化处置和可视化过程管理。

平台拥有“七十二般变化”，针对企事业单位的内部网络，将人力从繁重、低效的手动安全运营工作中解放出来，将一线人员的技术经验与实际工作的管理要求，转化成可视化编排的操作步骤，可以将各项工作流程永久保存，作为经验积累，保证安全事件处理的正确性和时效性。

关联分析：平台对各类告警和日志进行标准化处理，基于各类算子应用（日志过滤、日志关联、序列分析等）的组合，提供行为分析挖掘异常告警的能力，不仅满足传统静态规则匹配，更基于行为轨迹分析发现高级APT深度威胁，为告警收敛、异常流量发现高级威胁等场景提供安全保障。

剧本管理：平台将日常运营中可以固化的流程，抽象编排成一个有向无环流程图（即剧本），实现剧本的自动化、可视化执行，以7*24小时“零值守”网络安全为目标。

案件管理：平台为用户建立一座“电子档案室”，对整个案件进行全流程存储，包括案件发起、分析、处置、完结等过程，即时回溯，经验积累。

作战室：在通讯功能的基础上，平台集成了各类剧本的快捷调用，不仅做到人人协同，也实现人机之间的高效协同，不限场所随时联动。

SOAR的核心，就是将安全预案或流程数字化，以自动化技术完成其中所有可以自动化的部分，需要人工处置的仍然交给人来处理，通过可视化编排工具将人、技术和流程有机结合，形成标准统一、可重复、更高效的安全运营流程。

基于SOAR的网络安全智能运营与协同响应平台，为用户建设一体化调度指挥安全运营中心。目前该平台已成功服务政府、金融、能源等多家标杆客户，助力企业机构从容应对且不断优化安全运营流程，赋能数字化转型创新。