SOAR安全能力编排化

安全能力编排化（Security Capability Orchestration）是指系统一方面可以通过自底向上地通过安全设施接口化和安全接口应用化实现安全应用编排化；另一方面则自顶向下地将安全运营者的安全运营过程和规程进行形式化落地，实现运营过程的剧本化。最后，借助运营过程剧本化和安全应用编排化，实现安全能力的集成与编排，并为安全流程的自动化执行奠定基础。

安全设施是指安全运营过程中用到的各种技术、机制、工具、系统和服务。安全设施接口化是指这些安全设施对外提供的API。安全设施接口化是SOAR得以落地的重大前提条件。当前，包括安全设施在内的所有应用、系统和服务都在向可编程化迈进。也就是说，现代安全设施不仅提供面向人的GUI（图形用户接口），也会提供面向机器的API（应用程序接口）。而安全能力编排化最终就是通过这些接口来调用各种能力。

应用（Application）是指企业和组织安全运营过程中需要用到的各种安全设施通过API或GUI暴露出来的功能，经过标准化统一封装后形成的安全能力，并以服务的方式对外呈现出来。应用执行的最小操作单元是动作，即这个应用中所包含的操作指令。通常，一个应用包括多个动作（Action）。

安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。

剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，通常是在编排器中的工作流引擎驱动下执行。编写剧本的过程就是将安全运营流程和规程转换为剧本，并在剧本中将各种应用编排到一起的过程，也是将人读安全运营流程转换为机读工作流的过程。