SOAR (Security Orchestration, Automation and Response) - Definition & Erklärung

SOAR kombiniert drei Funktionen die SOC-Teams entlasten: Orchestrierung (Integration aller Security-Tools), Automatisierung (manuelle Routineaufgaben werden Scripts), Response (strukturierte Incident-Response-Workflows).

Das Problem das SOAR löst

Ohne SOAR - typischer Phishing-Alert-Prozess:

Schritt	Zeit
Analyst erhält SIEM-Alert	2 Min
Analyst öffnet verdächtige Mail manuell	3 Min
Analyst extrahiert URLs, Hashes	5 Min
Analyst prüft URLs in VirusTotal	5 Min
Analyst prüft Absender-IP in Threat Feeds	5 Min
Analyst entscheidet: echte Bedrohung?	5 Min
Analyst sperrt User-Account	5 Min
Analyst löscht Mail aus allen Postfächern	10 Min
Analyst dokumentiert Incident	15 Min
Gesamt	55 Minuten - oft 10+ gleichzeitige Alerts

Mit SOAR - automatisiertes Phishing-Playbook:

Schritt	Zeit
SIEM-Alert → SOAR-Trigger	0 Min
URL/Hash-Extraktion via API	Sekunden
VirusTotal + Threat-Intel-Check	Sekunden
Entscheidungslogik: Score > Threshold?	Sekunden
Automatisch: Account sperren, Mail löschen	Sekunden
Analyst erhält Benachrichtigung + Kontext	2 Min
Analyst validiert/eskaliert bei Bedarf	5 Min
Gesamt	~7 Minuten - vollautomatisch bis zur Validierung

SOAR-Komponenten

Playbooks (automatisierte Workflows)

# Beispiel: Phishing-Response-Playbook (vereinfacht)
name: phishing_response
trigger:
  source: siem
  condition: alert_type == "phishing_email"

steps:
  1_extract_indicators:
    action: parse_email
    extract: [urls, attachments, sender_ip, sender_domain]

  2_enrich_iocs:
    parallel:
      - virustotal.check_url(urls)
      - threatintel.check_ip(sender_ip)
      - whois.lookup(sender_domain)

  3_decision:
    if: virustotal_score > 5 OR threatintel_hit == true
    then: escalate_to_confirmed_phishing
    else: mark_as_benign_and_close

  4_response_confirmed:
    parallel:
      - o365.block_sender(sender_domain)
      - o365.quarantine_similar_emails(sender, subject)
      - ad.lock_user(recipient) if clicked_link
      - ticketing.create_incident(severity=HIGH)

  5_notify:
    email: soc_team@firma.de
    content: "Phishing bestätigt - automatische Maßnahmen eingeleitet"
    include: [ioc_report, affected_users, actions_taken]

Integrationen (Connectoren)

SOAR integriert alle Security-Tools:

SIEM: Splunk, Microsoft Sentinel, Elastic
EDR: CrowdStrike Falcon, SentinelOne, Microsoft Defender
Threat Intel: VirusTotal, Recorded Future, MISP
Ticketing: ServiceNow, Jira, PagerDuty
Identity: Active Directory, Azure AD (Entra ID)
Email: Microsoft 365, Google Workspace
Network: Palo Alto, Fortinet, Cisco
Cloud: AWS Security Hub, Azure Defender

Case Management

SOAR bietet strukturiertes Incident Management:

Automatische Ticket-Erstellung aus Alerts
Timeline aller Ereignisse und Aktionen
Analyst-Kommentare und Entscheidungen
SLA-Tracking
Post-Incident Reports

SOAR-Lösungen am Markt

Anbieter	Besonderheit
Palo Alto XSOAR	Marktführer, umfangreichster Playbook-Marktplatz
Splunk SOAR (ehem. Phantom)	Stark in Splunk-Umgebungen
Microsoft Sentinel	Integriert in Azure, “Logic Apps” als SOAR
IBM Security QRadar SOAR	Enterprise, guter DACH-Support
TheHive + Cortex	Open Source, für Teams mit Budget-Limits
Shuffle	Open Source, einfachere Playbooks

Wann lohnt sich SOAR?

SOAR ist wertvoll wenn:

SOC erhält > 100 Alerts/Tag
Analysten verbringen > 30% der Zeit mit Routine-Enrichment
Incident-Response-Prozesse sind gut dokumentiert
Budget für Integration vorhanden
Tools sind API-fähig

SOAR ist noch nicht nötig wenn:

Team < 3 SOC-Analysten
Alert-Volumen überschaubar
Playbooks nicht definiert (erst Prozesse, dann Automatisierung)

SOAR vs. SIEM

SIEM: Sammelt Logs → korreliert → Alert
SOAR: Empfängt Alert → analysiert → reagiert

Zusammenspiel: SIEM erkennt Brute-Force-Angriff → Alert an SOAR → SOAR prüft echte IP, Anzahl Versuche, Account-Status → SOAR entscheidet: temporärer Account-Lock + Analyst-Notification.

SOAR und SIEM sind komplementär, nicht konkurrierend. Die meisten modernen Plattformen (Microsoft Sentinel, Splunk) integrieren beides.