SOAR: Security Orchestration, Automation and Response implementieren
Security Orchestration, Automation and Response (SOAR) automatisiert repetitive SOC-Aufgaben und verkürzt Mean Time to Respond (MTTR) von Stunden auf Minuten. Dieser Guide erklärt SOAR-Architektur und Plattformen (Splunk SOAR, Microsoft Sentinel, Palo Alto XSOAR, TheHive), wie Playbooks für häufige Incidents (Phishing, Malware, Credential Compromise) aufgebaut werden, und wie SOAR in SIEM, EDR und Ticketsysteme integriert wird.
Inhaltsverzeichnis (4 Abschnitte)
Ein gut funktionierendes SOC-Team wird täglich von Alerts überflutet - Phishing-Meldungen, EDR-Alerts, SIEM-Korrelationen. SOAR (Security Orchestration, Automation and Response) automatisiert die repetitiven Teile: E-Mail-Header analysieren, Reputation prüfen, Ticket erstellen, User benachrichtigen. Was früher 45 Minuten dauerte, dauert mit SOAR 45 Sekunden. Das SOC-Team kann sich auf echte Bedrohungen konzentrieren.
SOAR-Architektur
SOAR besteht aus drei Schichten:
Die Orchestrierungsschicht verbindet alle Security-Tools über APIs, normalisiert verschiedene Formate auf ein einheitliches Datenmodell und kommuniziert bidirektional - SOAR kann Tools aktiv steuern, nicht nur lesen. Typische Integrationen: SIEM, EDR, Firewall, E-Mail-Gateway, Threat-Intelligence-Feeds, CMDB, ITSM.
Die Automatisierungsschicht (Playbooks) enthält vordefinierte Workflows für häufige Incidents. Trigger können SIEM-Alerts, eingehende E-Mails oder manuelle Starts sein. Aktionen umfassen Dateianalyse, IP-Sperrung, User-Deaktivierung und Ticket-Erstellung.
Die Response-Schicht unterscheidet zwischen automatischen Maßnahmen ohne Analyst, Analyst-in-the-Loop-Szenarien (System schlägt vor, Analyst genehmigt) und Case Management, das alle Incident-Daten in einem Fall zusammenführt.
Der typische Datenfluss: Alert aus SIEM oder EDR löst den SOAR-Trigger aus, gefolgt von Enrichment (Threat Intelligence, WHOIS, GeoIP, CMDB), Triage (Schwere, Asset-Kritikalität), Auto-Response oder Analyst-Aufgabe, Ticket-Erstellung plus Dokumentation und schließlich Closure mit Lessons-Learned-Feed.
SOAR-Plattformen
Microsoft Sentinel basiert auf Azure Logic Apps (Low-Code/No-Code) und bietet native M365-Integration zu attraktiven Preisen für Azure-Kunden. Das Community-Repository enthält über 400 fertige Playbooks für typische Szenarien wie automatisches E-Mail-Löschen bei Phishing, Endpunkt-Isolation bei Critical Alerts und User-Deaktivierung bei Credential Compromise.
{
"triggers": {
"When_a_response_to_an_Azure_Sentinel_alert_is_triggered": {}
},
"actions": {
"Condition_high_severity": {
"type": "If",
"expression": {
"equals": ["@triggerBody()?['Severity']", "High"]
},
"actions": {
"Disable_user": {},
"Create_incident": {},
"Notify_security_team": {}
}
}
}
}Splunk SOAR (ehemals Phantom) ist der Marktführer mit Python-basierten Custom-Apps und über 500 Connector-Apps. Eine kostenlose Community Edition ist verfügbar. Playbooks werden in Python geschrieben:
def phishing_triage(action=None, success=None, container=None,
results=None, handle=None, **kwargs):
sender = container.get('data', {}).get('from_address')
urls = container.get('data', {}).get('urls', [])
phantom.act('ip reputation', parameters=[{'ip': sender_ip}],
assets=['virustotal'], callback=check_reputation)
def check_reputation(action=None, success=None, results=None, **kwargs):
score = results[0].get('data', {}).get('positives', 0)
if score > 5:
phantom.act('block ip', parameters=[{'ip': results[0]['ip']}],
assets=['fortigate_firewall'])
phantom.severity(container=container, severity='high')Palo Alto XSOAR (Cortex XSOAR) bietet die umfangreichsten Out-of-the-box-Playbooks, starke Visualisierung und den War Room für kollaborative Incident Response. Mit über 1.000 fertigen Integrationen ist es die Plattform mit der breitesten Anbindung.
TheHive + Cortex ist der kostenlose Open-Source-Stack für DSGVO-konforme On-Premise-Deployments. TheHive übernimmt das Case Management, Cortex die Automatisierung und MISP die Threat Intelligence. Cortex-Analyzer werden in Python geschrieben und ermöglichen die Integration beliebiger Analyse-APIs.
Playbook-Design für häufige Incidents
Phishing-Response
Trigger: User meldet verdächtige E-Mail über "Report Phishing"-Button in Outlook.
Schritt 1 - Automatische Analyse (0-30 Sekunden): E-Mail-Header extrahieren (From, Reply-To, Received), SPF/DKIM/DMARC prüfen (Fail erhöht den Risiko-Score), URLs extrahieren und über URLVoid/VirusTotal prüfen, Attachments hashen und gegen VirusTotal abgleichen, Sender-IP über AbuseIPDB und GeoIP anreichern, Domain-Alter prüfen (neue Domain unter 30 Tage erhöht den Score).
Schritt 2 - Triage-Entscheidung: Risk Score unter 30: Benign, User informieren und Fall schließen. Risk Score 30-70: Analyst-Review erforderlich, Ticket in Queue. Risk Score über 70: Malicious, Automated Response.
Schritt 3 - Automated Response (bei Score über 70): E-Mail aus allen Postfächern löschen (O365 Remove-MailboxMessage), Absender-Domain im E-Mail-Gateway blocken, URLs im Proxy/DNS-Filter sperren, Ticket mit allen Findings erstellen, Analyst benachrichtigen, SIEM-Korrelation für andere Empfänger starten und IOCs (Domain, URL, Hash) in MISP einspeisen.
Schritt 4 - Analyst-Actions (bei Score 30-70): War Room zeigt alle Daten in einer Ansicht. One-Click Actions: "Confirm Malicious" führt Schritt 3 aus, "Mark as Benign" schließt den Fall und aktualisiert die Trainingsdaten.
Credential-Compromise-Response
Trigger: SIEM-Alert über User-Login aus unbekanntem Land oder EDR-Alert über Mimikatz/Credential Dumping.
Schritt 1 - Automatisches Risiko-Assessment: Analyse des User-Profils (normale Login-Orte, Arbeitszeiten), Asset-Kritikalität (normaler User vs. Admin vs. Service Account), gleichzeitige Sessions aus anderen Standorten, Vorkommen des Users in anderen aktuellen Alerts.
Schritt 2 - Automatische Maßnahmen bei hohem Risiko: Entra ID User-Session revoken, MFA-Re-Enrollment erzwingen, Conditional Access temporär sperren bis Analyst genehmigt, optionale AD-Kontodeaktivierung, Teams-Benachrichtigung an Security-Team und Manager.
Schritt 3 - Analyst-Genehmigung: "Bestätigen + Account sperren" führt AD-Deaktivierung und Passwort-Reset durch. "Bestätigen + normale Prozesse" beschränkt sich auf Session Revoke. "False Positive" fügt die IP oder Region zur Allowlist hinzu.
Ransomware-Erkennung
Trigger: EDR-Alert über Mass File Encryption oder SIEM-Korrelation über viele Dateiänderungen in kurzer Zeit.
Schritt 1 - Sofortmaßnahmen (automatisiert, unter 60 Sekunden): Endpunkt isolieren über EDR Network Isolation API, User-Account in AD deaktivieren, CISO und Management per E-Mail und SMS benachrichtigen, Incident-Ticket mit höchster Priorität erstellen, Link zum Business-Continuity-Plan ins Ticket einfügen.
Schritt 2 - Forensik-Unterstützung: EDR-Timeline der letzten 48h exportieren, Netzwerk-Flows der letzten 24h sichern, alle anderen Endpunkte auf gleiche Indikatoren prüfen und Backup-Status über CMDB-API abfragen.
Schritt 3 - Containment-Assessment: Hat sich die Ransomware lateral bewegt? Welche Fileserver hat der Endpunkt beschrieben? Weitere betroffene Endpunkte ebenfalls isolieren.
SOAR-Integration und Metriken
Die technische Integration erfolgt über Webhooks von SIEM zu SOAR und über REST-APIs zurück in Ticketsysteme. Die bidirektionale SIEM-Integration ermöglicht, dass SOAR-Maßnahmen als Notes zurück in den SIEM-Alert geschrieben werden und ein Closure in SOAR den SIEM-Alert automatisch schließt.
Die Auswirkung von SOAR lässt sich direkt messen:
| Metrik | Vor SOAR | Nach SOAR |
|---|---|---|
| MTTR (Phishing) | 45 Minuten (manuell) | unter 2 Minuten |
| Alert-Bearbeitungsrate | Baseline | +300% |
| Analyst-Fokus | 30% Routine-Triage | Kritische Incidents |
Wichtige SOAR-KPIs: Automation Rate (Prozentsatz vollständig automatisierter Alerts), False Positive Rate (sollte durch SOAR-Feedback sinken), MTTR pro Incident-Typ (separate Messung pro Playbook) und Playbook Coverage (Prozentsatz der Alert-Typen mit Playbook).
Einführungs-Projektplan
Phase 1 - Foundation (Monat 1-2): SOAR-Plattform auswählen, wichtigste Integrationen anschließen (SIEM, EDR, AD), Phishing-Playbook implementieren (häufigster Alert-Typ), Runbook-Dokumentation erstellen.
Phase 2 - Expansion (Monat 3-4): Die fünf häufigsten Alert-Typen mit Playbooks abdecken, ITSM-Integration für Ticket-Automatisierung aufbauen, SOC-Team schulen, Metriken-Dashboard einrichten.
Phase 3 - Optimization (Monat 5+): Feedback-Loop etablieren (Analyst-Feedback verbessert Playbooks), ML-Integration für verbessertes Anomalie-Scoring, neue Use-Cases für Cloud-Alerts und Identity-Events, quartalsweise Playbook-Reviews um veraltete Logik zu entfernen.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
