对于从事安全运维的人员来说，随着安全威胁手段的层出不穷，和国家、行业对网络安全的不断重视，安全事件的响应在工作中被提到了更加重要的位置。而为了能够进行快速、持续地响应繁复的安全威胁事件，安全人员不得不与冗杂的操作流程、匮乏的专业人手和沟通成本、预算等做斗争。

当安全事件一旦被触发告警，一线安全人员接下来可能要进行十几项工作任务：登陆多个安全设备界面，查看威胁日志，查询端口开放信息，查看DNS查询记录，封禁IP，添加终端准入控制等等。那这些应急响应的运营工作要怎么完成呢？很多单位通常还是一台办公室终端，人工查看、打电话、邮件、钉钉、OA等方式来进行，其中涉及近十多个界面，命令语句、文件、截图来回穿梭。一次事件响应，就是一阵的“鸡飞狗跳”。

稍好一点的话，有一个集中办公的作战室，安全、网络、系统、应用等均有值班岗在一起协同办公，可以省掉不少沟通环节。但这依然不够优雅，要花费大量人力成本（多人，线下，7*24小时），且大量人工操作会有受到干扰、失误忽略的可能。那么有没有兼顾速度和质量的应急响应方式，能够淡定又高效地满足，日趋频繁的实时安全对抗需求呢？

SOAR（Security Orchestration, Automation and Response ，安全编排、自动化和响应）技术专注但不局限于，安全运营和安全事件响应，这是Gartner在2015年首次提出的概念。2017年，SOAR进入2.0时代，被重新定义为安全流程自动化和响应，并将其视为三项技术/工具的融合：安全流程和自动化，安全事件响应平台（SIRP，安全响应响应）平台）和威胁情报平台（TIP，威胁平台）。

2. 线上虚拟作战室

不仅是事件编排响应，在SOAR的落地过程中，往往还会和AI人机协同结合在一起，提升安全响应的速度和能力。雾帜智能公司SOAR基础上的虚拟作战室，就是通过集成AI人机协同机器人的方式，使安全人员能够直接以自然语言的方式调度应急响应资源。其中包括：安全产品、IT系统、网络设备、SaaS服务等等。安全意图直达设备，不用经过人员沟通，也不用记忆复杂的命令和参数！AI协同作战机器人能够精准地理解工程师的语言，准确地提取文本中的参数，成功推荐并快速执行安全指令。而且，利用线上的特性，可以随时在虚拟作战室中邀请加入其他同事进来，实现多人多并发在线的事件处置和消息同步。这样，安全事件响应的速度和效率能够得到保证，安全应急响应的质量也能够得到保障，加速威胁响应处置。