SOAR (Orchestration & Automatisation)

Le SOAR regroupe les outils et processus qui permettent d'automatiser et d'orchestrer la réponse aux incidents de sécurité. Il est souvent connecté à un SIEM ou un XDR, et permet de réagir automatiquement à certains types d'alertes via des playbooks : par exemple, isoler un poste, révoquer un accès, notifier un analyste ou ouvrir un ticket. Le SOAR permet de réduire considérablement le temps de réponse, d'alléger la charge des analystes, et d'améliorer la cohérence des traitements. Il est particulièrement utile dans les environnements riches en événements ou dotés d'un SOC. Certains SOAR incluent aussi des capacités de visualisation des incidents et de génération de rapports post-mortem.