Een security-analist kan op een drukke dag honderden alerts voorbij zien komen. Het overgrote deel is vals alarm of routine. Maar tussen die ruis zit af en toe het signaal dat ertoe doet, en dat mag niet blijven liggen. Dat is het probleem dat SOAR aanpakt.
SOAR neemt de repetitieve, voorspelbare taken over: data verzamelen, alerts verrijken, een eerste triage doen en standaardacties uitvoeren. De analist houdt zo tijd over voor de incidenten die echt menselijke beoordeling vragen. In dit artikel lees je wat SOAR is, hoe het werkt, hoe het zich verhoudt tot een SIEM en welke rol het speelt binnen een MDR-dienst.
Wat is SOAR?
SOAR (Security Orchestration, Automation and Response) is een verzameling technologie die securitytools aan elkaar koppelt, taken automatiseert en respons uitvoert via playbooks, zonder dat een analist elke stap handmatig hoeft te doen.
De term is bedacht door marktanalist Gartner, die de huidige betekenis in 2017 vastlegde (Gartner 2017). Gartner beschreef er de samensmelting mee van drie soorten technologie: orkestratie en automatisering, incidentrespons, en threat intelligence.
SOAR is ontstaan uit een praktisch probleem. Securityteams kregen steeds meer tools en steeds meer alerts, maar niet meer mensen. De handmatige opvolging werd een knelpunt. SOAR automatiseert het voorspelbare deel van dat werk, zodat de respons sneller en consistenter wordt. Bekende SOAR-platforms zijn onder meer Palo Alto Cortex XSOAR, Fortinet FortiSOAR, Splunk SOAR en Microsoft Sentinel.
Hoe werkt SOAR?
SOAR werkt via drie bouwstenen: orkestratie, automatisering en respons, aangestuurd door playbooks.
Orkestratie: tools koppelen
Orkestratie is het verbinden van losse securitytools via API's, zodat ze samenwerken. Je firewall, je EDR, je SIEM en je threat-intelligence-feeds praten via SOAR met elkaar. Een melding uit het ene systeem kan zo automatisch een actie in het andere starten.
Automatisering: playbooks die vanzelf draaien
Automatisering betekent dat vooraf vastgelegde stappen automatisch worden uitgevoerd zodra een trigger afgaat. Komt er een alert binnen, dan verzamelt SOAR zelf de context: wie is de gebruiker, welk apparaat, is het IP-adres bekend als kwaadaardig? Die verrijking gebeurt in seconden, niet in minuten.
Respons: geautomatiseerde acties
Respons is de actie die volgt op de analyse. SOAR kan een endpoint isoleren, een IP-adres blokkeren, een account uitschakelen of een ticket aanmaken. Bij heldere gevallen gebeurt dat automatisch. Bij twijfel legt SOAR de keuze voor aan een analist.
Playbooks: het draaiboek
Een playbook is het draaiboek dat vastlegt welke stappen bij welk type alert horen. Het beschrijft de volgorde: verrijken, beoordelen en bij een bevestigde dreiging ingrijpen. Een goed playbook zorgt dat elk incident van hetzelfde type op dezelfde manier wordt afgehandeld, ongeacht wie er dienst heeft.
Wat zijn de voordelen van SOAR?
SOAR levert vooral snelheid en consistentie op. De belangrijkste voordelen:
- Snellere respons. Automatisering verkort de tijd tussen detectie en actie. Organisaties die detectie en respons sterk met AI en automatisering versnelden, bespaarden gemiddeld 1,9 miljoen dollar per datalek (IBM 2025).
- Minder ruis. SOAR filtert en verrijkt alerts, zodat alleen de relevante meldingen bij de analist terechtkomen.
- Consistente afhandeling. Playbooks voeren elke keer dezelfde stappen uit. Dat haalt menselijke fouten uit repetitieve taken.
- Schaalbaarheid. Je verwerkt meer alerts zonder evenredig meer mensen aan te nemen, iets wat lastig is nu ervaren security-analisten schaars zijn.
SOAR vs SIEM: wat is het verschil?
Een SIEM verzamelt en correleert data en slaat alarm. SOAR handelt op dat alarm. Dat is het kernverschil.
Een SIEM (Security Information and Event Management) trekt logdata uit je hele omgeving samen, zoekt naar verdachte patronen en genereert alerts. Daar stopt een SIEM. Wat er met die alert gebeurt, is mensenwerk, of werk voor SOAR.
SOAR pakt het stokje over op het moment dat de alert er is. Het verrijkt de melding, voert het playbook uit en onderneemt actie. SIEM signaleert, SOAR reageert.
| Aspect | SIEM | SOAR |
|---|---|---|
| Functie | Verzamelt en correleert logdata | Automatiseert de respons |
| Output | Alerts | Acties via playbooks |
| Rol | Signaleren | Handelen |
| Werkt op | Logdata uit de hele omgeving | Alerts uit de SIEM en andere tools |
Wanneer heb je beide nodig? Zodra het aantal alerts groter wordt dan je team handmatig kan opvolgen. De SIEM levert het signaal, SOAR zorgt dat er snel en consistent op wordt gehandeld. Wil je het verschil tussen detectie en beheerde opvolging breder begrijpen, lees dan MDR vs SIEM.
SOAR en MDR
Binnen MDR is SOAR de automatiseringslaag onder het werk van de analisten. Een MDR-dienst combineert technologie en mensen, en SOAR zorgt dat de technologie het voorspelbare werk overneemt.
In de praktijk betekent dat het volgende: als een alert binnenkomt, doet SOAR de eerste verrijking en triage. Standaardacties, zoals het isoleren van een besmet apparaat, gebeuren direct. De analist begint dus niet bij nul, maar bij een melding die al van context is voorzien. Dat scheelt minuten op het moment dat minuten tellen.
Bij Aumatics gebruiken we automatisering om de reactietijd in ons SOC kort te houden, terwijl de beoordeling en het ingrijpen bij bevestigde dreigingen mensenwerk blijven. De techniek versnelt, de analist beslist. Hoe die dienst is opgebouwd lees je op de pagina over Managed Detection and Response.

