SOAR bezeichnet Technologien, die auf die Alarme eines SIEM Systems aufsetzen, um die Reaktion auf Sicherheitsvorfälle zu koordinieren und zu automatisieren. Eine SOAR Plattform verbindet verschiedene, sonst isolierte Sicherheitstools und steuert sie über sogenannte Playbooks. Ein Playbook ist ein vordefinierter, digitaler Arbeitsablauf für einen bestimmten Vorfallstyp. Erkennt das SIEM beispielsweise Malware auf einem Laptop, kann ein SOAR Playbook automatisch eine Reihe von Aktionen auslösen: Es isoliert das Gerät vom Netzwerk, sperrt den betroffenen Benutzeraccount und erstellt ein Ticket für das IT Team. Durch diese Automatisierung gewinnen Unternehmen wertvolle Zeit, reduzieren manuelle, repetitive Aufgaben und stellen eine konsistente, fehlerfreie Reaktion auf Standardbedrohungen sicher.