安全能力編排化(Security Capability Orchestration)是指系統一方面可以通過自底向上地通過安全設施接口化和安全接口應用化實現安全應用編排化;另一方面則自頂向下地將安全運營者的安全運營過程和規程進行形式化落地,實現運營過程的劇本化。最后,借助運營過程劇本化和安全應用編排化,實現安全能力的集成與編排,並為安全流程的自動化執行奠定基礎。
安全設施是指安全運營過程中用到的各種技術、機制、工具、系統和服務。安全設施接口化是指這些安全設施對外提供的API。安全設施接口化是SOAR得以落地的重大前提條件。當前,包括安全設施在內的所有應用、系統和服務都在向可編程化邁進。也就是說,現代安全設施不僅提供面向人的GUI(圖形用戶接口),也會提供面向機器的API(應用程序接口)。而安全能力編排化最終就是通過這些接口來調用各種能力。
應用(Application)是指企業和組織安全運營過程中需要用到的各種安全設施通過API或GUI暴露出來的功能,經過標准化統一封裝后形成的安全能力,並以服務的方式對外呈現出來。應用執行的最小操作單元是動作,即這個應用中所包含的操作指令。通常,一個應用包括多個動作(Action)。
安全編排(Security Orchestration)是將企業和組織在安全運營過程中涉及的不同系統或者一個系統內部不同組件的安全功能通過可編程接口(API)封裝后形成的安全能力(即應用)和人工檢查點按照一定的邏輯關系組合到一起,以完成某個特定的安全運營過程和規程。安全編排是將安全運營相關的工具/技術、流程和人員等各種能力整合到一起的一種協同工作方式。
劇本(Playbook)是安全運營流程在安全編排系統中的形式化表述,通常是在編排器中的工作流引擎驅動下執行。編寫劇本的過程就是將安全運營流程和規程轉換為劇本,並在劇本中將各種應用編排到一起的過程,也是將人讀安全運營流程轉換為機讀工作流的過程。