Security Orchestration, Automation and Response
Plattform zur automatisierten Orchestrierung und Reaktion auf Sicherheitsvorfälle durch vordefinierte Playbooks.
Security Orchestration, Automation and Response (SOAR) bezeichnet Plattformen, die Sicherheitsprozesse automatisieren, verschiedene Sicherheitstools miteinander verbinden und die Reaktion auf Vorfälle durch vordefinierte Abläufe beschleunigen. SOAR schließt die Lücke zwischen der Erkennung einer Bedrohung und der konkreten Gegenmaßnahme.
SIEM erkennt, SOAR reagiert
SIEM und SOAR werden oft gemeinsam eingesetzt, erfüllen aber unterschiedliche Aufgaben.
| Merkmal | SIEM | SOAR |
|---|---|---|
| Primärfunktion | Erkennung und Analyse von Bedrohungen | Automatisierte Reaktion auf Vorfälle |
| Datenverarbeitung | Log-Aggregation, Korrelation, Alerting | Playbook-Ausführung, Tool-Integration |
| Input | Logs und Events aus der Infrastruktur | Alerts aus SIEM und anderen Quellen |
| Output | Alerts und Dashboards | Automatisierte Aktionen und Tickets |
| Menschliche Interaktion | Analyst bewertet Alerts manuell | Analyst wird erst bei Eskalation eingebunden |
| Stärke | Sichtbarkeit und Forensik | Geschwindigkeit und Konsistenz |
Playbooks als Kern
Playbooks sind vordefinierte Ablaufpläne, die bei bestimmten Ereignissen automatisch ausgeführt werden. Ein Phishing-Playbook könnte beispielsweise automatisch die verdächtige E-Mail analysieren, URLs in einer Sandbox prüfen, den Absender blockieren, betroffene Nutzer benachrichtigen und ein Ticket im Helpdesk erstellen — alles innerhalb von Sekunden statt Stunden.
Automatisierung repetitiver Aufgaben
Security-Teams verbringen einen erheblichen Teil ihrer Zeit mit wiederkehrenden Aufgaben: Alert-Triage, IOC-Anreicherung, Ticket-Erstellung und False-Positive-Bewertung. SOAR automatisiert diese Routinearbeiten und entlastet Analysten für die Aufgaben, die menschliches Urteilsvermögen erfordern — komplexe Untersuchungen, Threat Hunting und strategische Verbesserungen. Je schneller ein Incident Response-Prozess abläuft, desto geringer der potenzielle Schaden.
Integration mit bestehenden Tools
Der Wert von SOAR liegt in der Orchestrierung: Die Plattform verbindet Firewalls, EDR-Lösungen, Ticketing-Systeme, Threat Intelligence-Feeds, Kommunikationstools und Cloud-Dienste über APIs. Statt zwischen Konsolen zu wechseln, steuern Analysten die gesamte Reaktion aus einer zentralen Oberfläche. Typische Integrationen umfassen OTRS oder Jira für Ticketing, Microsoft Teams oder Slack für Benachrichtigungen und Firewalls für automatische IP-Sperren.
Relevanz für KMUs
Eigenständige SOAR-Plattformen waren lange nur für Großunternehmen wirtschaftlich. Inzwischen bieten viele SIEM-Anbieter integrierte SOAR-Funktionen an, und Managed-Security-Dienste übernehmen die Orchestrierung. Für KMUs ist der Einstieg oft pragmatisch: Automatisierung der häufigsten Alert-Typen, Integration von SIEM mit Ticketing und Benachrichtigungen und schrittweiser Ausbau der Playbooks nach Bedarf.