A perspetiva da Cyber Academy
SOAR é a camada que recebe alertas do SIEM e executa playbooks: enriquecimento, triagem, contenção, gestão de tickets. Objetivo: reduzir o MTTR e libertar os analistas de trabalho repetitivo. Atenção às promessas excessivas dos fornecedores: um SOAR vale o que valem os playbooks que se escrevem e mantêm. A maioria dos projetos SOAR falhados ficou sem autores de playbooks.
O que o SOAR acrescenta acima do SIEM
Security Orchestration, Automation and Response é a camada de ação que fica por trás da deteção. Um SIEM é bom a recolher registos, correlacioná-los e gerar alertas, mas para no alerta. O SOAR continua a partir daí e faz o trabalho que de outra forma um analista faria à mão: enriquece o alerta com pesquisas de reputação e contexto dos ativos, decide o seu grau de urgência, abre ou atualiza um ticket e, onde a política permite, toma medidas de contenção como isolar um host, desativar uma conta ou bloquear um indicador na firewall. A unidade de trabalho num SOAR é o playbook, uma sequência de passos codificada que transforma um procedimento repetível de tratamento de incidentes em algo que a plataforma pode executar sozinha.
A orquestração e a automação são duas ideias distintas que o acrónimo agrupa. A orquestração é a cablagem: ligar o SIEM, o EDR, o sistema de ticketing, o fornecedor de identidade, os feeds de threat intelligence e a firewall para que possam trocar dados e comandos entre si através de uma única consola. A automação é o que corre através dessa cablagem sem intervenção humana. A maioria das equipas maduras mantém um ponto de aprovação humana nos passos destrutivos, de modo que a plataforma enriquece e triagem automaticamente, mas espera que um analista confirme antes de pôr em quarentena um servidor de produção. Essa mistura, o trabalho fastidioso automatizado com o juízo humano nas ações de maior consequência, é o que os profissionais realmente implementam.
SIEM, SOAR e o SOC
Estes três termos andam juntos e são fáceis de confundir. Não são produtos concorrentes. Descrevem funções diferentes dentro da mesma operação de deteção e resposta.
| Termo | O que é | A sua função |
|---|---|---|
| SIEM | Uma plataforma | Recolhe e correlaciona registos e telemetria, e depois gera alertas quando algo parece anómalo. |
| SOAR | Uma plataforma | Pega nesses alertas e executa playbooks: enriquecimento, triagem, contenção, ticketing. |
| SOC | Uma equipa e uma função | Os analistas e o processo que operam ambos, investigam o que as ferramentas fazem emergir e decidem o que fazer. |
Leia-o como um pipeline. O SIEM encontra o sinal, o SOAR faz o trabalho de resposta repetível em torno desse sinal, e o SOC são as pessoas que são donas de todo o ciclo e tratam de tudo o que os playbooks não conseguem. O valor mais claro do SOAR está no volume: relatórios de phishing, alertas de malware comum, inícios de sessão suspeitos. Tudo o que chega em massa e segue um padrão de tratamento previsível é candidato a um playbook, que é de onde vem a redução do tempo médio de resposta e a razão pela qual os analistas deixam de passar o turno a fazer enriquecimento por copiar e colar.
Por que os projetos SOAR têm êxito ou falham
A shortDefinition é direta sobre a armadilha, e corresponde ao que se vê no terreno: um SOAR só vale o que valem os playbooks que escreve e mantém, e a maioria dos projetos SOAR falhados ficou sem autores de playbooks. A plataforma vem com conectores e um motor de fluxos de trabalho, mas vem sem qualquer conhecimento do seu ambiente. Cada playbook tem de ser concebido, construído, testado contra alertas reais e depois mantido à medida que as suas ferramentas, a sua rede e os seus atacantes mudam. Um playbook que chama uma API descontinuada no trimestre passado é pior do que nenhum playbook, porque falha silenciosamente a meio de um incidente.
Do ponto de vista da governança, o SOAR é a forma como vários objetivos de controlo deixam de ser aspiracionais. No âmbito de um sistema de gestão da segurança da informação ISO/IEC 27001, apoia o lado técnico da gestão de incidentes, do registo e da monitorização, e produz um registo coerente e com marca temporal de como cada incidente foi tratado, que é exatamente a evidência que um auditor quer. Também sustenta a capacidade de resposta que o NIST Cybersecurity Framework pressupõe e que regulamentos como NIS2 e DORA esperam que as organizações mantenham, em particular em torno do tratamento e da notificação atempados de incidentes significativos. Trate o SOAR como um multiplicador de força para um processo que funciona, não como um substituto de ter um.
Frequently asked questions
01Qual é a diferença entre SIEM e SOAR?
Um SIEM recolhe e correlaciona registos e gera alertas. Um SOAR pega nesses alertas e atua sobre eles executando playbooks que enriquecem, triam, criam tickets e contêm. O SIEM encontra o sinal, o SOAR faz o trabalho de resposta repetível à sua volta. São comummente implementados em conjunto, e não como alternativas.
02O SOAR substitui os analistas do SOC?
Não. O SOAR elimina o trabalho repetitivo de copiar e colar para que os analistas possam dedicar tempo à investigação e ao juízo. Precisa de pessoas para escrever e manter os playbooks, para tratar de tudo o que os playbooks não conseguem e para aprovar as ações de contenção de maior consequência. É um multiplicador de força, não um substituto.
03O que é um playbook SOAR?
Um playbook é um procedimento de tratamento de incidentes codificado e repetível que a plataforma pode executar. Um típico enriquece um alerta com contexto e threat intelligence, pontua a sua urgência, abre um ticket e, onde a política permite, toma um passo de contenção como isolar um host ou desativar uma conta.
04Por que falham os projetos SOAR?
A maioria estagna porque não resta ninguém para escrever e manter os playbooks. A plataforma vem sem qualquer conhecimento do seu ambiente, por isso cada playbook tem de ser construído, testado e mantido atualizado à medida que as ferramentas e as ameaças mudam. Sem um esforço de redação sustentado, o valor nunca se materializa.
05O SOAR é obrigatório para a conformidade?
Nenhuma norma nomeia especificamente o SOAR. As suas capacidades correspondem aos controlos de gestão de incidentes, registo e monitorização da ISO/IEC 27001 e às expectativas de resposta do NIST CSF e de regulamentos como NIS2 e DORA. É uma forma de operacionalizar essas obrigações de maneira coerente, não uma casa a marcar por si só.