从2015年到2022年，Gartner对SOAR（安全编排自动化与响应）的定义几经变化：

2015年，安全运营（Security Operations），分析（Analytics）和报告（Reporting）

2019年，安全编排自动化与响应（Security Orchestration, Automation and Response）

2022年，SOAR平台是在单个平台中结合事件响应（SIRP）、编排和自动化（SOA）以及威胁情报管理（TIP）功能的解决方案

但万变不离其宗，归根结底还是围绕安全运营这个核心流程进行丰富和完善。

威胁情报是SOAR的重要功能，通过对多源威胁情报的收集、关联、分类、共享和集成，以及与其他系统的整合，实现对网络攻击的检测、响应和阻断。

专注网络安全可视化领域11年，安博通网络安全智能运营与协同响应平台深刻诠释了SOAR理念，将威胁情报管理作为核心组件之一，帮助用户实现高效剧本编排和自动化响应。

威胁情报聚合管理

平台提供安博通自主研发的预置威胁情报功能，支持开源情报更新、手动新增与批量导入、第三方威胁情报对接。

基于统一标准对威胁情报数据进行融合，使多源情报按照一致的格式入库和展示，提升操作便利性。

支持威胁情报的快速检索，基于自研的AQL可变数据库检索引擎，可多字段多条件自定义检索。

提供多源情报的质量评价方法，给出情报可信度评分。

威胁情报扩展分析

基于实时流量的威胁情报检测机制，实时发现威胁，第一时间抵御安全风险。

基于威胁情报的告警日志收敛功能，可快速对海量告警日志进行二次研判。

基于告警事件的威胁情报关联分析，针对告警中的IP、域名、文件Hash等字段匹配威胁情报，为安全运营人员提供更多维度的情报信息，提升决策精准性。

基于攻击IP的威胁情报溯源画像，快速对攻击IP进行追踪溯源。

基于威胁情报的自动化封禁功能，对已知但尚未造成威胁的攻击IP，提前设置阻断访问策略。

威胁情报可视化

基于BI仪表盘可定制本地威胁情报态势，将威胁情报与安全响应有机结合，从情报来源、情报融合、情报处理等多个维度进行呈现，宏观展示本地安全的运营态势。

网络安全智能运营与协同响应平台是SOAR理念的深度实践，不仅能帮助安全运营团队梳理现有安全运营流程、完成安全剧本编排、实现安全事件自动化响应，而且还能增强安全团队的威胁情报管理能力，让威胁情报成为安全运营的地基。

责任编辑：kj005