1990年万维网的诞生深刻地改变了人类社会和经济的发展进程。千禧年后,由海量数据暴增、计算机算力提升、万物互联互通等因素的驱动,网络已经成为人们日常生活中不可分割的一部分。互联网给人们带来便捷生活、经济价值、科技体验的同时其安全威胁也如影随形。然而,传统安全数据中心的配置繁琐而易错,使当前安全运维团队面临巨大挑战,网络安全服务的质量亟需提高。智能技术的发展促使安全运维逐渐从劳动力密集型行业转向技术密集型行业,从最初的防火墙、虚拟局域网、安全运营中心(security operation center, soc),到2005年安全信息及事件管理(security information event management, siem)的应运而生,再到用户实体行为分析(user and entity behavior analytics, ueba)、终端检测与响应(endpoint detection and response, edr)、安全编排自动化响应(security orchestration automation and response, soar), 安全技术的防护内容和防护手段都在不断更新精进。回溯安全运维发展的整体趋势,soar的诞 生开启了安全运维拥抱智能化的新时代,通过对安全事件的智能化编排和自动化响应,对安全威胁做出了更加全面高效的应对。本白皮书首先将全面阐述soar的概念、内涵和核心性能; 其次,从威胁信息和事件数量多、人力不足且经验难固化、设备孤立技术整合度低、安全保障政策法规要求高四方面分析新形势下网络安全团队面临的挑战,并且找到soar 如何满足这四方面网络安全需求的应对之道;再次,对国内外领先的网络安全企 业运用soar技术的优秀案例进行介绍;最后,对soar未来面对的机遇 与挑战给予展望。对当前soar技术的深入研究,不仅有利于深刻认识安全威胁的现状,也将有助于进一步探索人工智能时代对新型威胁的应对方式。