SOAR Security Orchestration, Automation and Response.

SOAR ist die Schicht, die SIEM-Alerts verarbeitet und Playbooks ausführt: Anreicherung, Triage, Eindämmung, Ticketing. Ziel: MTTR senken und Analysten von Copy-paste-Arbeit entlasten. Vorsicht vor übertriebenen Versprechen der Anbieter: Ein SOAR ist nur so gut wie die Playbooks, die Sie schreiben und pflegen. Die meisten gescheiterten SOAR-Projekte sind an fehlenden Playbook-Autoren zugrunde gegangen.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

SOAR ist die Schicht, die SIEM-Alerts verarbeitet und Playbooks ausführt: Anreicherung, Triage, Eindämmung, Ticketing. Ziel: MTTR senken und Analysten von Copy-paste-Arbeit entlasten. Vorsicht vor übertriebenen Versprechen der Anbieter: Ein SOAR ist nur so gut wie die Playbooks, die Sie schreiben und pflegen. Die meisten gescheiterten SOAR-Projekte sind an fehlenden Playbook-Autoren zugrunde gegangen.

Was SOAR zusätzlich zum SIEM bietet

Security Orchestration, Automation and Response ist die Aktionsebene, die hinter der Erkennung steht. Ein SIEM ist gut darin, Logs zu sammeln, sie zu korrelieren und Alarme auszulösen, aber beim Alarm hört es auf.

Das SOAR übernimmt von dort und erledigt die Arbeit, die ein Analyst andernfalls von Hand erledigen würde: Es reichert den Alarm mit Reputationsabfragen und Asset-Kontext an, entscheidet, wie dringend er ist, eröffnet oder aktualisiert ein Ticket und ergreift, wo die Richtlinie es erlaubt, Eindämmungsmaßnahmen wie das Isolieren eines Hosts, das Deaktivieren eines Kontos oder das Blockieren eines Indikators an der Firewall.

Die Arbeitseinheit in einem SOAR ist das Playbook, eine kodifizierte Abfolge von Schritten, die eine wiederholbare Prozedur zur Vorfallbearbeitung in etwas verwandelt, das die Plattform eigenständig ausführen kann.

Orchestrierung und Automatisierung sind zwei verschiedene Konzepte, die das Akronym zusammenfasst. Orchestrierung ist die Verdrahtung: das Verbinden von SIEM, EDR, Ticketing-System, Identitätsanbieter, Threat-Intelligence-Feeds und Firewall, damit sie über eine einzige Konsole Daten und Befehle untereinander austauschen können. Automatisierung ist das, was über diese Verdrahtung ohne menschliches Zutun läuft.

Die meisten reifen Teams behalten bei den destruktiven Schritten eine menschliche Freigabe bei, sodass die Plattform automatisch anreichert und triagiert, aber wartet, bis ein Analyst bestätigt, bevor sie einen Produktionsserver in Quarantäne nimmt. Diese Mischung, automatisierte Fleißarbeit mit menschlichem Urteil bei den folgenreichen Aktionen, ist das, was Praktiker tatsächlich einsetzen.

SIEM, SOAR und das SOC

Diese drei Begriffe treten gemeinsam auf und lassen sich leicht verwechseln. Sie sind keine konkurrierenden Produkte. Sie beschreiben unterschiedliche Aufgaben innerhalb derselben Erkennungs- und Reaktionsoperation.

SIEM vs SOAR vs SOC
BegriffWas es istSeine Aufgabe
SIEMEine PlattformSammelt und korreliert Logs und Telemetrie und löst dann Alarme aus, wenn etwas falsch erscheint.
SOAREine PlattformNimmt diese Alarme auf und führt Playbooks aus: Anreicherung, Triage, Eindämmung, Ticketing.
SOCEin Team und eine FunktionDie Analysten und der Prozess, die beide betreiben, untersuchen, was die Werkzeuge zutage fördern, und entscheiden, was zu tun ist.

Lesen Sie es als eine Pipeline. Das SIEM findet das Signal, das SOAR erledigt die wiederholbare Reaktionsarbeit rund um dieses Signal, und das SOC sind die Menschen, denen der gesamte Kreislauf gehört und die alles bewältigen, was die Playbooks nicht können. Der klarste Nutzen von SOAR liegt im Volumen: Phishing-Meldungen, Alarme zu Massen-Malware, verdächtige Anmeldungen. Alles, was massenhaft eintrifft und einem vorhersehbaren Bearbeitungsmuster folgt, ist ein Kandidat für ein Playbook, und genau daher kommt die Verkürzung der mittleren Reaktionszeit und der Grund, warum Analysten aufhören, ihre Schicht mit Copy-and-paste-Anreicherung zu verbringen.

Warum SOAR-Projekte gelingen oder scheitern

Die shortDefinition benennt die Falle unverblümt, und das deckt sich mit dem, was die Praxis zeigt: Ein SOAR ist nur so gut wie die Playbooks, die Sie schreiben und pflegen, und den meisten gescheiterten SOAR-Projekten gingen die Playbook-Autoren aus. Die Plattform wird mit Konnektoren und einer Workflow-Engine geliefert, aber sie wird ohne jegliches Wissen über Ihre Umgebung geliefert. Jedes Playbook muss entworfen, gebaut, gegen echte Alarme getestet und dann gepflegt werden, während sich Ihre Werkzeuge, Ihr Netzwerk und Ihre Angreifer ändern. Ein Playbook, das eine im letzten Quartal abgekündigte API aufruft, ist schlimmer als gar kein Playbook, weil es mitten in einem Vorfall stillschweigend versagt.

Aus der Governance-Perspektive ist SOAR der Weg, auf dem mehrere Kontrollziele aufhören, bloße Absichtserklärungen zu sein. Im Rahmen eines Informationssicherheits-Managementsystems nach ISO/IEC 27001 unterstützt es die technische Seite des Incident-Managements, der Protokollierung und Überwachung, und es erzeugt einen konsistenten, mit Zeitstempel versehenen Nachweis darüber, wie jeder Vorfall behandelt wurde, was genau der Nachweis ist, den ein Auditor sehen möchte.

Es untermauert auch die Reaktionsfähigkeit, die das NIST Cybersecurity Framework voraussetzt und die Vorschriften wie NIS2 und DORA von Organisationen erwarten, insbesondere im Hinblick auf die zeitnahe Bearbeitung und Meldung erheblicher Vorfälle. Behandeln Sie SOAR als Kraftverstärker für einen funktionierenden Prozess, nicht als Ersatz dafür, einen zu haben.

Frequently asked questions

01Was ist der Unterschied zwischen SIEM und SOAR?

Ein SIEM sammelt und korreliert Logs und löst Alarme aus. Ein SOAR nimmt diese Alarme auf und handelt darauf, indem es Playbooks ausführt, die anreichern, triagieren, Tickets erstellen und eindämmen. Das SIEM findet das Signal, das SOAR erledigt die wiederholbare Reaktionsarbeit darum herum. Sie werden üblicherweise zusammen eingesetzt und nicht als Alternativen.

02Ersetzt SOAR die SOC-Analysten?

Nein. SOAR beseitigt die repetitive Copy-and-paste-Arbeit, damit Analysten Zeit für Untersuchung und Urteilsvermögen aufwenden können. Es braucht Menschen, um die Playbooks zu schreiben und zu pflegen, um alles zu bewältigen, was die Playbooks nicht können, und um die folgenreichen Eindämmungsmaßnahmen freizugeben. Es ist ein Kraftverstärker, kein Ersatz.

03Was ist ein SOAR-Playbook?

Ein Playbook ist ein kodifiziertes, wiederholbares Verfahren zur Vorfallbearbeitung, das die Plattform ausführen kann. Ein typisches reichert einen Alarm mit Kontext und Threat Intelligence an, bewertet seine Dringlichkeit, eröffnet ein Ticket und ergreift, wo die Richtlinie es erlaubt, einen Eindämmungsschritt wie das Isolieren eines Hosts oder das Deaktivieren eines Kontos.

04Warum scheitern SOAR-Projekte?

Die meisten kommen ins Stocken, weil niemand mehr da ist, um die Playbooks zu schreiben und zu pflegen. Die Plattform wird ohne jegliches Wissen über Ihre Umgebung geliefert, sodass jedes Playbook gebaut, getestet und aktuell gehalten werden muss, während sich Werkzeuge und Bedrohungen ändern. Ohne dauerhaften Schreibaufwand materialisiert sich der Nutzen nie.

05Ist SOAR für die Compliance erforderlich?

Kein Standard nennt SOAR ausdrücklich. Seine Fähigkeiten lassen sich auf die Kontrollen für Incident-Management, Protokollierung und Überwachung in ISO/IEC 27001 sowie auf die Reaktionserwartungen des NIST CSF und von Vorschriften wie NIS2 und DORA abbilden. Es ist eine Möglichkeit, diese Verpflichtungen konsistent zu operationalisieren, und kein Häkchen für sich genommen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.