YDT 4966-2024安全编排自动化响应（SOAR）技术参考架构.pdfVIP

ICS35.030

CCSM10

-YD

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

安全编排自动化响应(SOAR)技术参考架构

Technicalreferencearchitectureofsecurityorchestration,automationandresponse

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部  发布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：杭州安恒信息技术股份有限公司,中国信息通信研究院、华为技术有限公司,中国

电信集团有限公司,中兴通讯股份有限公司、北京启明星辰信息安全技术有限公司、北京天融信网络安

全技术有限公司。

本文件主要起草人：刘博、孟楠、戴方芳、谈修竹、王雪薇、田丽丹、林明峰、李强、薄明霞、林

兆骥、胡毅勋、霍纪中、罗家强、陈星、柏雪、张光明、樊宁、田甜、宋磊、王龑。

II

YD/TXXXXX—XXXX

安全编排自动化响应(SOAR)技术参考架构

1范围

本文件提出了安全编排自动化响应（SOAR）的技术参考架构。

本文件适用于指导安全编排自动化响应（SOAR）的使用方、运营方、研发方和第三方测评机构等对

安全编排自动化响应进行设计、开发、测试、运维等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

信息安全事态informationsecurityevent

表明可能的信息安全违规或某些控制失效的发生。

[来源：GB/T25069-2022,3.686]

信息安全事件informationsecurityincident

与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。

[来源：GB/T25069-2022,3.684]

安全事件响应securityincidentresponse

针对单个或一系列安全事件进行的响应活动。安全事件响应活动结束后，安全事件应极大程度上得

到处理和解决。

安全编排securityorchestration

将工作流程中涉及的不同系统或一个系统内部的不同安全能力通过可编程接口（API）封装后形成

的安全能力接口、人工处理节点、逻辑判断等各类型流程节点按照一定的逻辑组合到一起，完成某个特

定安全事件响应操作的过程。

安全剧本securityplaybook

针对不同信息安全事件、不同场景制定的标准化工作流程，可长期留存在SOAR系统中实现知识经验

的沉淀。安全剧本将人、数据、流程、工具有效的结合在一起，实现自动化或半自动化的处置工作流。

安全剧本是安全编排的形式化表述。

安全能力secu