SIEM of Security Information and Event Management is een systeem voor het identificeren en escaleren van beveiligingsincidenten die zich overal in een netwerk voordoen. SIEM verzamelt gegevens uit verschillende bronnen en correleert deze om patronen te herkennen die wijzen op afwijkingen. SOAR of Security Orchestration, Automation, and Response speelt een rol die complementair is aan die van SIEM. Het automatiseert incidentrespons nadat een waarschuwing is gegeven.
In dit artikel zullen we een gedetailleerde vergelijking maken tussen SIEM en SOAR, waarbij we de belangrijkste verschillen tussen beide zullen bekijken op het gebied van functionaliteit, gebruiksscenario's en belang. We zullen ook onderzoeken hoe de SIEM- en SOAR-systemen kunnen samenwerken om een sterk cyberdefensiekader op te bouwen.
Wat is Security Information and Event Management (SIEM)?
SIEM is een beveiligingsoplossing die Security Information Management (SIM) en Security Event Management (SEM) combineert om gedetailleerd inzicht te krijgen in de softwaresystemen van een organisatieamp;rsquo;s softwaresystemen.
SIEM kan gebeurtenisloggegevens uit een breed scala aan bronnen verzamelen en verwerken om afwijkingen in realtime te detecteren en analyseren en passende maatregelen te nemen. SIEM verzamelt enorme hoeveelheden beveiligingsinformatie en gebeurtenisgegevens van servers, firewalls, applicaties, enz.
Vervolgens voert het gegevensanalyses uit met behulp van complexe algoritmen en correlatieregels om afwijkingen van gebruikelijke patronen te identificeren die wijzen op beveiligingsrisico's. Zodra een risico wordt gedetecteerd, geeft het SIEM-systeem een waarschuwing af, zodat het beveiligingsteam snel kan reageren.
Wat zijn de belangrijkste kenmerken van SIEM?
De Security Information and Event Management (SIEM)-oplossingen werken als een beveiligingswachtpost met als primaire functie het vroegtijdig detecteren van potentiële beveiligingsrisico's. De belangrijkste kenmerken van SIEM benadrukken juist deze functie.
- Logboekbeheer – Een SIEM-systeem brengt beveiligingsloggegevens uit verschillende bronnen samen op een centrale locatie om deze te ordenen en te analyseren en patronen te vinden die wijzen op een mogelijke bedreiging of inbreuk.
- Correlatie van gebeurtenissen – De gebeurtenisgegevens worden gesorteerd en gecorreleerd om patronen te vinden die kunnen voorkomen in ogenschijnlijk niet-gerelateerde gebeurtenissen.
- Incidentmonitoring en -respons – SIEM monitort netwerkgegevens op beveiligingsincidenten en geeft tijdig waarschuwingen tijdens een gebeurtenis.
- Rapportage – Door gedetailleerde rapporten van elk beveiligingsincident te genereren, creëert SIEM gestroomlijnde audittrails die kunnen helpen bij het handhaven van compliance.
Wat is Security Orchestration, Automation, and Response (SOAR)?
SOAR is een reeks diensten die de preventie van bedreigingen en de respons op incidenten coördineert en automatiseert. Het bestaat uit drie hoofdonderdelen: orchestration, automatisering en incidentrespons.
Orchestration verwijst naar het tot stand brengen van verbindingen tussen interne en externe beveiligingstools, waaronder kant-en-klare tools en aangepaste integraties. Hiermee kunnen organisaties omgaan met hun groeiende voorraad beveiligingstools en integraties van derden.
Automatisering stelt playbooks en workflows op die worden geactiveerd door een incident of een regel. Dit kan worden gebruikt om waarschuwingen te beheren en responsieve acties in te stellen. Hoewel het uiterst moeilijk is om end-to-end beveiligingsautomatisering toe te passen, kunnen met een beetje menselijke tussenkomst veel taken worden geautomatiseerd.
De eerste twee componenten leggen de basis voor een snelle incidentrespons.
Wat zijn de belangrijkste kenmerken van SOAR?
De wereldwijde gemiddelde detectietijd (MTTD) van een beveiligingsinbreuk is ongeveer 200 dagen en de gemiddelde hersteltijd (MTTR) is ongeveer 40 dagen. Het primaire doel van de SOAR-technologie is om zowel MTTD als MTTR te verminderen, wat op zijn beurt de totale impact van een aanval op een bedrijf kan verminderen. De belangrijkste kenmerken van SOAR zijn afgestemd op dit doel.
- Integratie en prioritering van beveiligingswaarschuwingen – Een SOAR-systeem integreert informatie uit verschillende beveiligingstools in een centrale console en zorgt ervoor dat beveiligingswaarschuwingen uit al deze bronnen succesvol worden gesorteerd en geprioriteerd.
- Automatisering – Routinetaken zoals het triëren van incidenten en het uitvoeren van playbooks worden grotendeels geautomatiseerd. Dit maakt middelen vrij en vermindert de druk op beveiligingsprofessionals door gebruik te maken van AI. Automatisering – Routinetaken zoals het triëren van incidenten en het uitvoeren van playbooks worden grotendeels geautomatiseerd. Dit maakt middelen vrij en vermindert de druk op beveiligingsprofessionals door gebruik te maken van AI.Casemanagement – Casemanagement is een functie die een gecentraliseerde hub creëert voor informatie met betrekking tot alle beveiligingsincidenten, vanaf het moment dat ze zich voordoen totdat ze zijn afgesloten.
- Playbook-automatisering – Dit verwijst naar het opzetten van een stapsgewijze workflow voor de veelvoorkomende taken die moeten worden uitgevoerd tijdens de incidentresponsprocedure. Dit vermindert zowel de responstijd als de kans op menselijke fouten.
- Threat Intelligence Integration – Stroomlijnt de correlatie van dreigingsinformatiegegevens met incidentgegevens om kritieke dreigingen te prioriteren en responsmaatregelen voor te stellen.
Kritieke verschillen tussen SIEM en SOAR
SIEM en SOAR spelen complementaire rollen in cyberbeveiliging. SIEM is geschikt voor het opsporen van aanwijzingen voor bedreigingen door beveiligingsgebeurtenisgegevens uit de hele infrastructuur van een organisatie te analyseren, terwijl SOAR meer actiegericht is. Het richt zich op het reageren op beveiligingswaarschuwingen en het in gang zetten van corrigerende maatregelen.
Beide zijn verantwoordelijk voor het detecteren van bedreigingen en het opzetten van reacties; de schaal waarop ze werken, de bronnen die door de tools worden gebruikt en de algehele impact zijn de onderscheidende factoren. In dit gedeelte bespreken we deze factoren.
#1 SIEM versus SOAR: Focus en primaire functie
Security Information and Event Management (SIEM) is het proces van het verzamelen van gegevens over beveiligingsincidenten, het correleren van incidenten en het herkennen van patronen die wijzen op afwijkende activiteiten. Het biedt diepgaand inzicht in de beveiligingsstatus van een organisatie.
De primaire focus van Security Orchestration, Automation, and Response (SOAR)-platforms ligt op het automatiseren en coördineren van incidentresponsprocessen. SOAR stelt beveiligingsteams in staat om de responstijd op beveiligingsincidenten en bedreigingen te verkorten.
#2 SIEM vs SOAR: Automatisering
SIEM maakt gebruik van automatisering voor het verzamelen en analyseren van grote hoeveelheden gegevens en voor patroonherkenning.
SOAR maakt de automatisering van op regels gebaseerde corrigerende maatregelen mogelijk om een snelle respons op incidenten te garanderen.
#3 SIEM vs SOAR: Incidentrespons
SIEM heeft beperkte mogelijkheden voor incidentrespons. Zoals eerder besproken, is de primaire functie het genereren van waarschuwingen, waarna beveiligingsprofessionals de dreigingen beoordelen en de nodige maatregelen nemen.
SOAR speelt een meer praktische rol bij incidentrespons. Het maakt gebruik van vooraf gedefinieerde playbooks om corrigerende maatregelen te versnellen op basis van beveiligingswaarschuwingen die zijn verzameld met verschillende tools.
#4 SIEM vs SOAR: gegevensverzameling
SIEM verzamelt ruwe gegevens uit bronnen in de hele infrastructuur, waaronder logboeken van firewalls, servers, netwerkapparaten en applicaties.
SOAR verzamelt, in tegenstelling tot SIEM, geen ruwe gegevens. Het richt zich op het verzamelen van verwerkte beveiligingsgegevens van SIEM en andere beveiligingstools.
#5 SIEM vs SOAR: Resultaat
SIEM is een technologie die zich richt op het detecteren van beveiligingsincidenten. Het kan beveiligingswaarschuwingen genereren met relevante inzichten voor beveiligingsprofessionals. Wat betreft respons en herstel is SIEM bijna volledig afhankelijk van kenniswerkers.
SOAR is gericht op het automatiseren van incidentrespons. Het belangrijkste resultaat is een vermindering van zowel MTTD als MTTR.
#6 SIEM vs SOAR: Kosten en schaalbaarheid
SIEM vereist een grote initiële investering om de infrastructuur te financieren die nodig is om enorme hoeveelheden gegevens te verwerken. Doorlopende kosten kunnen bestaan uit licenties, opslag en hardwareonderhoud. Bedrijven kunnen het moeilijk en kostbaar vinden om het SIEM-systeem op te schalen naarmate de onderneming groeit.
SOAR-systemen werken vaak als Software-as-a-Service (SAAS) met abonnementsmodellen. Een bedrijf dat bijvoorbeeld gebruikmaakt van het AI-aangedreven beveiligingsautomatiseringsplatform van SentinelOne hoeft zich geen zorgen te maken over het vanaf nul opbouwen van een robuuste beveiligingsinfrastructuur. Dit verlaagt de kosten en maakt opschalen eenvoudig.
SIEM versus SOAR: belangrijkste verschillen
| Functie | SIEM | SOAR |
|---|---|---|
| Primaire functie | Beveiligingsgegevens verzamelen, correleren en analyseren | Beveiligingsincidenten coördineren, automatiseren en erop reageren |
| Focus op gegevens | Grote hoeveelheden ongestructureerde loggegevens | Gestructureerde beveiligingswaarschuwingsgegevens, dreigingsinformatie en resultaten van de uitvoering van playbooks |
| Automatisering | Beperkte automatisering voor datanormalisatie en correlatie | Uitgebreide automatisering voor incidentrespons, uitvoering van playbooks en herstel |
| Responstijd | Langere responstijd op basis van de beschikbaarheid van personeel. | Kortere gemiddelde tijd voor detectie en herstel met behulp van beveiligingsautomatisering. |
| Schaalbaarheid | Kan een uitdaging zijn om te schalen vanwege infrastructurele vereisten. | Over het algemeen beter schaalbaar vanwege cloudgebaseerde architectuur. |
| Kosten | Hogere initiële kosten en doorlopende onderhoudskosten. | Lagere initiële kosten, prijsstelling op basis van abonnement |
| Aandachtsgebied | Detectie en monitoring van bedreigingen | Incidentrespons en workflowbeheer |
| Integratie | Integreert met verschillende beveiligingsapparaten en -toepassingen in het hele bedrijfsnetwerk | Integreert met SIEM en andere beveiligingstools voor incidentrespons |
Wanneer kiezen voor SIEM en wanneer voor SOAR?
SIEM is geschikt voor organisaties die een robuuste, interne beveiligingsbasis willen opbouwen die enorme hoeveelheden beveiligingsgegevens kan analyseren om potentiële bedreigingen te identificeren. SOAR is meer geschikt voor een organisatie met een volwassen beveiligingsprogramma die de efficiëntie wil verhogen door verschillende beveiligingstaken te automatiseren. Hoe maakt een bedrijf dan de juiste keuze tussen SIEM en SOAR?
Het is belangrijk om te begrijpen dat SIEM en SOAR complementaire taken vervullen binnen een organisatie. SIEM werkt als een brandalarm, terwijl SOAR werkt als een brandweereenheid: de eerste is geschikt voor continue monitoring en detectie van bedreigingen, de tweede voor snelle respons.
Als een bedrijf een SIEM heeft dat afwijkend netwerkgedrag detecteert, wordt er elke keer dat er een afwijking wordt gedetecteerd – bijvoorbeeld een plotselinge piek in het dataverkeer – een alarm afgegeven aan het beveiligingsteam. Het beveiligingsmanagement moet dan iemand aanwijzen om het specifieke probleem te onderzoeken en op te lossen.
Maar als het om een vals-positief gaat, verspilt de aangewezen persoon kostbare tijd. Wanneer er veel waarschuwingen binnenkomen, is het van cruciaal belang om vals-positieven te vermijden en routinetaken te automatiseren, anders loopt een bedrijf het risico de meest kritieke problemen uit het oog te verliezen. Dat is waar SOAR om de hoek komt kijken. SOAR kan gegevens van meerdere beveiligingssystemen integreren en automatiseringen uitvoeren om bepaalde problemen te onderzoeken, te prioriteren en op te lossen. Dit zorgt voor twee dingen: 1. Incidenten worden veel sneller bekeken en afgehandeld. 2. Beveiligingsprofessionals kunnen zich concentreren op de kwesties die echt de aandacht van experts vereisen, de rest wordt afgehandeld met logische playbooks.
Een goede manier om de vergelijking tussen SOAR en SIEM te bekijken, is door de SOAR-mogelijkheden te zien als een uitbreiding van SIEM.
Kritieke SIEM-gebruiksscenario's
- Gecentraliseerd logboekbeheer – SIEM verzamelt logboekgegevens uit diverse bronnen, zoals servers, netwerkapparaten en applicaties, en consolideert deze op één locatie. Dit uniforme overzicht maakt een betere detectie en onderzoek van beveiligingsincidenten mogelijk.
- Forensisch onderzoek – SIEM ondersteunt forensisch onderzoek door beveiligingsteams te helpen bij het reconstrueren van het tijdschema van de aanval, het identificeren van de aanvalsvector en het verzamelen van bewijsmateriaal voor juridische of nalevingsdoeleinden.
- Detectie van bedreigingen – Met geavanceerde analyse- en correlatietechnieken identificeert SIEM patronen die wijzen op afwijkende activiteiten. SIEM kan bedreigingen zoals malware, datalekken en bedreigingen van binnenuit in realtime detecteren.
- Naleving – SIEM helpt organisaties te voldoen aan wettelijke nalevingsnormen door bewijs te leveren van beveiligingsmaatregelen en monitoringactiviteiten.
SOAR-gebruiksscenario's
- Geautomatiseerde incidentrespons – Snelle uitvoering van vooraf gedefinieerde playbooks zorgt voor een gestroomlijnde beheersing van bedreigingen. Menselijke fouten worden verminderd door geautomatiseerde acties. De incidentafhandelingsprocessen worden gestroomlijnd omdat de reacties zijn gebaseerd op vastgestelde playbooks, waardoor consistente acties bij verschillende incidenten worden gegarandeerd. De resultaten van het playbook kunnen worden geanalyseerd op basis van parameters zoals succespercentage, uitvoeringstijd, benutting van middelen, enz. Deze analyses maken verdere optimalisatie van de playbooks mogelijk.
- Workflows coördineren – SOAR integreert toolchains om een naadloze samenwerking tussen tools te garanderen. Door middel van centrale taaktoewijzingen en geautomatiseerde workflows kan zelfs een klein beveiligingsteam of een enkel individu veel beveiligingsincidenten beheren.
- Verbetering van incidentonderzoek – Met gecentraliseerd casemanagement kunnen SOAR-platforms incidentgegevens opslaan en beheren op een centrale console. Beveiligingsgegevens worden geanalyseerd om aanvullende context te verzamelen. Het verzamelen van verwerkte gegevens uit verschillende bronnen zorgt voor een diepgaand onderzoek.
- Verbeterde dreigingsdetectie en -analyse – SOAR-platforms kunnen proactief bedreigingen opsporen, waarbij gebruik wordt gemaakt van bedreigingsinformatie. Bedreigingsinformatie kan helpen bij het opstellen van aangepaste playbooks voor specifieke bedreigingsactoren. Dit leidt tot een effectieve verdediging tegen verschillende aanvalstechnieken en een algehele verbetering van de jachtinspanningen.
SIEM en SOAR consolideren voor betere beveiliging
Het consolideren van SIEM en SOAR kan een geweldige strategische zet zijn voor bedrijven die hun beveiligingspositie willen versterken en hun beveiligingsactiviteiten willen opschalen. SIEM biedt een uniform overzicht van het beveiligingslandschap, terwijl SOAR gestroomlijnde incidentrespons en verhoogde efficiëntie mogelijk maakt door middel van automatisering en het gebruik van AI. Door deze consolidatie kunnen beveiligingsteams bedreigingen sneller detecteren en effectiever reageren.
Belangrijkste voordelen van de integratie van SIEM en SOAR
- Verbeterde detectie van bedreigingen en respons – SOAR maakt gebruik van beveiligingswaarschuwingen van SIEM en andere beveiligingstools om de beoordeling van bedreigingen en de respons daarop te verbeteren.
- Verbeterde efficiëntie van beveiligingsactiviteiten – Het gebruik van automatisering vergroot de capaciteit van beveiligingsteams en maakt middelen vrij om zich te concentreren op de meest kritieke kwesties. De tijd die wordt bespaard door geautomatiseerde workflows leidt tot een kortere gemiddelde tijd voor detectie en herstel. SOAR ontlast beveiligingsprofessionals door routinetaken te automatiseren.
- Verbeterde zichtbaarheid en controle – SIEM biedt gedetailleerd inzicht in het beveiligingslandschap van een organisatie, terwijl SOAR gecentraliseerde controle biedt over incidentresponsprocedures.
- Versnelde incidentonderzoek – SOAR kan context toevoegen aan waarschuwingen die door SIEM worden gegenereerd, waardoor de snelheid en kwaliteit van het onderzoek worden verbeterd.
- Verbeterde naleving – Beide tools kunnen helpen bij het aantonen van naleving van branchevoorschriften. SIEM correleert bijvoorbeeld logboeken uit verschillende bronnen en creëert zo een uitgebreid overzicht van de netwerkactiviteit, wat op zijn beurt weer nuttig kan zijn tijdens een nalevingsaudit.
Beveiligingsbeheerders kunnen SOAR configureren om automatisch routinematige nalevingscontroles uit te voeren. Deze kunnen bestaan uit het controleren van firewallregels, wachtwoordbeleid of de status van patchbeheer.
Hoe kiest u de juiste tool voor uw organisatie?
U hebt een manier nodig om uw bestaande beveiligingsraamwerk te versterken met de snelheid en autonomie van kunstmatige intelligentie. Leiders moeten verder kijken dan SIEM versus SOAR en een geconsolideerde aanpak omarmen die gericht is op het versterken van het SOC (Security Operations Center).
Waar moet u op letten bij een beveiligingsoplossing?
- Schaalbaarheid: De beveiligingstool moet in staat zijn om een toenemende hoeveelheid gegevens en incidenten te verwerken naarmate het bedrijf groeit. Het is een uitdaging om schaalbaarheid te behouden met een intern SIEM-systeem. Samenwerken met een cloudgebaseerd platform dat groei gemakkelijk kan beheren, is voor de meeste bedrijven de ideale oplossing.
- Integratie: Uw beveiligingstool, met name SOAR, moet kunnen worden geïntegreerd met bestaande beveiligingsmiddelen, aangezien een SOAR-tool beveiligingsgegevens moet ophalen uit alle beveiligingstools, zoals SIEM en endpointbeveiligingseenheden.
- Gebruiksgemak: Een intuïtieve console of dashboard waarmee u activiteiten binnen het beveiligingsraamwerk kunt monitoren en beheren, maakt beveiligingsbeheer een stuk efficiënter. Met name in het geval van SOAR wilt u een platform waarmee u de workflows en hun prestaties kunt overzien.
- Threat intelligence: De beveiligingstool van uw keuze moet gekoppeld zijn aan de feed met dreigingsinformatie. Dit helpt uw organisatie om voorop te blijven lopen bij het omgaan met opkomende dreigingen.
- Kosten en ROI: Als u rekening houdt met kosten en ROI, is een uitbestede, geconsolideerde platformaanpak het meest logisch. U kunt afzien van de initiële investeringen voor het opzetten van de data-infrastructuur die nodig is voor SIEM, en u kunt ook de middelen besparen die nodig zijn voor het opbouwen van SOAR-capaciteiten door te kiezen voor een platform zoals Singularity™ AI SIEM van SentinelOne.
U moet een leverancier kiezen met een bewezen staat van dienst, diepgaande expertise en een visie voor de toekomst. Op de lange termijn is het in uw voordeel om samen te werken met een organisatie die zich richt op het voldoen aan uw huidige beveiligingsbehoeften, maar ook stappen zet om u te beschermen tegen mogelijke uitdagingen in de toekomst, zoals geavanceerdere malware-aanvallen, hoogwaardige phishing, krachtigere DDoS-aanvallen en uiteindelijk aanvallen op basis van quantumcomputing.
Waarom zou u voor SentinelOne kiezen?
De AI SIEM, gebouwd op SentinelOne Singularity™ Data Lake, is het perfecte platform voor organisaties die een autonoom SOC willen opzetten met gedetailleerd inzicht, snelle respons en efficiënt resourcebeheer.
SentinelOne kan uw verouderde SIEM transformeren en een transitie naar de toekomst mogelijk maken met de kracht van kunstmatige intelligentie.
Dit is wat u krijgt:
- AI-aangedreven realtime zichtbaarheid in uw hele onderneming
- Een cloud-native SIEM met onbeperkte schaalbaarheid en gegevensbewaring
- Hyperautomatisering van uw workflows in plaats van kwetsbare SOAR
- Een combinatie van bedrijfsbrede dreigingsdetectie met toonaangevende dreigingsinformatie
- Een uniforme console-ervaring
U kunt alles beveiligen: eindpunten, cloud, netwerk, identiteit, e-mail en meer. U kunt first-party- en third-party-gegevens uit elke bron en in elk formaat opnemen, gestructureerd of ongestructureerd.
Uiteindelijk zijn de doelen die u kunt bereiken met AI SIEM van SentinelOne:
- Snellere detectie van bedreigingen en snellere reactie
- Minder valse positieven
- Efficiëntere toewijzing van middelen
- Een algehele verbetering van de beveiliging.
Dat is alles wat u van uw beveiligingsplatform verwacht en het maakt ook een einde aan de discussie over SIEM versus SOAR door SOAR-mogelijkheden te integreren in een AI-aangedreven SIEM.
De toonaangevende AI SIEM in de sector
Richt je in realtime op bedreigingen en stroomlijn de dagelijkse werkzaamheden met 's werelds meest geavanceerde AI SIEM van SentinelOne.
Vraag een demo aanConclusie
Met dit artikel hebben we een goed begrip gekregen van hoe SIEM en SOAR werken. We hebben ook ontdekt dat het debat tussen SIEM en SOAR eindigt met een perfecte consolidatie van beide in een platform zoals SentinelOne’s AI SIEM.
Een combinatie van SIEM en SOAR zorgt voor de balans die een organisatie nodig heeft en met de genoemde use cases hopen we dat u een visie voor uw organisatie heeft gevormd op basis van uw specifieke zakelijke behoeften.
FAQs
Ja, SOAR kan onafhankelijk van SIEM werken. Hoewel SIEM een belangrijke bron van gegevens voor SOAR is, kan het ook beveiligingsinformatie van beveiligingstools zoals Endpoint Detection and Response (EDR)-systemen om te functioneren.
Nee, SIEM en SOAR kunnen elkaar niet vervangen. Deze technologieën hebben verschillende functies. SIEM richt zich op het verzamelen, correleren en analyseren van gegevens, terwijl SOAR zich bezighoudt met geautomatiseerde incidentrespons en beveiligingsorkestratie. Ze kunnen elkaars rol niet volledig vervangen.
De tijd die nodig is om SIEM of SOAR te implementeren, hangt af van de grootte van de organisatie en de complexiteit van de IT-infrastructuur. Afhankelijk van de grootte van de organisatie kan de implementatie van SIEM 8 tot 10 maanden duren. SOAR vereist een kortere periode (3-6 maanden) omdat er geen data-infrastructuur hoeft te worden opgebouwd.
SOAR staat voor Security Orchestration, Automation and Response. Zoals de naam al aangeeft, coördineert SOAR beveiligingsprocedures en zorgt het voor gecentraliseerde controle over beveiligingswaarschuwingen. Het automatiseert ook incidentresponsprocedures door middel van op regels gebaseerde playbooks en AI-aangedreven acties.
SIEM verzamelt, correleert en analyseert beveiligingsgegevens.
SOAR automatiseert incidentrespons en coördineert beveiligingsinstrumenten. XDR of Extended Detection and Response breidt het bereik van dreigingsdetectie uit tot buiten eindpunten en richt zich op geavanceerde dreigingsopsporing.
EDR of Endpoint Detection and Response voert dreigingsdetectie uit op eindpunten. SIEM verzamelt gegevens over beveiligingsgebeurtenissen en correleert deze om potentiële dreigingen te identificeren. SOAR is een beveiligingsoplossing voor het verkorten van de tijd die nodig is om dreigingen te detecteren en erop te reageren door middel van automatisering en coördinatie van beveiligingsprocedures.
