Организовать и автоматизировать процессы расследования ИБ-инцидентов и принятия контрмер по ним позволяет инструментарий, получивший наименование SOAR(Security Orchestration, Automation and Response). SOAR - инструментарий, позволяющий сводить получаемые из разных источников данные об угрозах безопасности для последующего анализа. SOAR автоматизирует этот процесс — от назначения приоритета до работы с шаблонными «ответами» на инциденты. Что напрямую относится к работе SOAR: Оркестровка (Orchestration) — интеграция технологий и инструментов для принятия решений на основе информации об уровне риска и состоянии системы. Автоматизация (Automation) — для замещения задач, которые ранее выполняли «вручную», автоматическими действиями со стороны системы по заготовленным сценариям (playbooks). Управление киберинцидентами и совместная деятельность (Incident management and collaboration) — сквозной подход по работе с «назначением приоритета», «протоколированием действий» и «принятием решений на основе политик компании». Формирование отчётов (Dashboards and reporting) — визуализация информации по ключевым метрикам и составление сводок для трёх типов сотрудников — аналитиков, руководителей SOC и директоров по ИБ (Chief Information Security Officer, CISO).