Обзор решений класса Security Orchestration, Automation and Response (SOAR)

Системы SOAR (Security Orchestration, Automation and Response) позволяют собирать данные о событиях ИБ из различных источников и обрабатывать их. Автоматизация типовой реакции на угрозы даёт возможность специалистам ИБ сфокусироваться на анализе наиболее сложных инцидентов.

 

 

 

 

 

 

1. 1. Введение
2. 2. Концепция SOAR
3. 3. Эволюция от IRP к SOAR
4. 4. Как развивается мировой рынок SOAR
5. 5. Как развивается российский рынок SOAR
6. 6. Обзор отечественных систем для управления инцидентами и автоматизации работы с ними
   
   1. 6.1. Решения класса SOAR
      
      1. 6.1.1. ASoar
      2. 6.1.2. R-Vision SOAR
      3. 6.1.3. Security Vision SOAR
      4. 6.1.4. UDV SOAR
   2. 6.2. Усовершенствованные комплексные решения
      
      1. 6.2.1. MaxPatrol 360
      2. 6.2.2. Security Vision NG SOAR (Next Generation SOAR)
7. 7. Выводы

Введение

По мере расширения и усложнения ИТ-инфраструктуры зависимость бизнеса от её стабильной работы неуклонно растёт. Естественным следствием цифровой трансформации становится повышенное внимание к вопросам безопасности: чем масштабнее инфраструктура, тем сложнее её эффективно защищать, особенно при использовании разрозненного набора слабо связанных между собой средств.

В крупных организациях это создаёт объективную необходимость внедрения единых корпоративных платформ безопасности. Такие системы не только дают комплексную оценку текущего уровня защищённости, но и автоматизируют процессы реагирования на инциденты, обеспечивают их глубокое расследование и позволяют непрерывно совершенствовать стратегию защиты всей инфраструктуры. Именно к таким средствам относят системы класса «оркестрация, автоматизация и реагирование на инциденты информационной безопасности» (Security Orchestration, Automation, and Response, SOAR).

Концепция SOAR

SOAR — это программные решения, которые координируют работу различных систем безопасности, выступая в роли связующего звена. Они собирают информацию о событиях ИБ из множества разрозненных источников, анализируют её и автоматически запускают типовые сценарии реагирования на инциденты. Проще говоря, SOAR — это инструмент оркестрации, который помогает различным системам защиты «общаться» друг с другом и берёт на себя рутинные задачи по отражению кибератак.

 

Рисунок 1. Основные функции SOAR-систем

 

Функциональные возможности SOAR-решений охватывают полный цикл управления инцидентами:

Сбор данных о потенциальных инцидентах

Системы класса SOAR агрегируют сигналы безопасности из множества разнородных источников, включая SIEM-платформы, антивирусное ПО и средства защиты конечных точек, DLP-системы, межсетевые экраны, решения для анализа угроз (Threat Intelligence) и поведения пользователей (User and Entity Behavior Analytics, UEBA), а также службы каталогов операционных систем.

Анализ инцидента

На этапе обработки платформа автоматически или с участием аналитика обогащает информацию о киберинциденте данными из внешних баз, архивов аналогичных событий и других релевантных источников. Параллельно формируется перечень затронутых объектов и устройств, что создаёт основу для дальнейших действий.

Идентификация и классификация угроз

На основе всестороннего анализа собранных данных SOAR оценивает состояние защищаемой инфраструктуры, выделяет потенциально опасные события, ранжирует их по степени критичности и уведомляет об этом ответственных специалистов. В соответствии с корпоративной политикой система может автоматически изолировать скомпрометированные устройства для предотвращения распространения атаки или предпринять иные превентивные меры.

Реагирование на инциденты

Руководствуясь полученной информацией об инциденте, платформа инициирует необходимые меры для нейтрализации угрозы или снижения её последствий. Типичные операции — отправка команд другим средствам защиты, удалённое удаление вредоносных объектов, восстановление системных параметров и другие действия.

Визуализация данных и формирование отчётности

Многие SOAR-решения предоставляют сводную информацию об инцидентах в разрезе подразделений, конечных точек, программных продуктов или конкретных сотрудников. Отчётность о текущем уровне безопасности представляется в виде наглядных диаграмм и информеров, обновляемых в режиме реального времени.

Эволюция от IRP к SOAR

Одна из актуальных тенденций в сфере информационной безопасности — автоматизация рутинных операций. Передача управления процессами автоматизированным системам позволяет специалистам по безопасности сосредоточиться на действительно важных задачах, что повышает общую результативность команды. Кроме того, такой подход минимизирует риск ошибок, связанных с человеческим фактором, и ускоряет обработку инцидентов.

Для автоматизации рутинных операций можно использовать не только SOAR: рассматривая этот класс решений, нельзя не упомянуть системы IRP, поскольку нередко их объединяют в один класс решений — IRP/SOAR.

IRP (Incident Response Platform) — это специализированная платформа для управления инцидентами ИБ, стандартизации процессов реагирования и чёткой координации действий команды. Она помогает организовать работу с инцидентами от момента их обнаружения до полного закрытия: регистрирует, классифицирует, назначает ответственных, контролирует ход расследования и формирует отчёты.

Платформа собирает данные от различных систем защиты (SIEM, EDR, межсетевых экранов и других) и может интегрироваться с системой управления заявками (Service Desk) для передачи задач на исполнение. По сути, IRP выступает диспетчерским центром, который объединяет технические средства, людей и процессы в единую систему реагирования на кибератаки.

SOAR — это более продвинутый класс систем безопасности, который включает функциональность IRP, то есть управление жизненным циклом инцидентов, дополненное мощными инструментами оркестрации и автоматизации. Можно сказать, что SOAR — это естественное развитие IRP-систем.

Системы SOAR собирают данные из множества источников, обогащают их контекстом и запускают автоматические реакции (например, блокировку вредоносного IP-адреса на межсетевом экране). Это значительно ускоряет реагирование на инциденты и разгружает специалистов по безопасности.

 

Рисунок 2. Схема интеграции IRP/SOAR в инфраструктуру компании

 

Рынок SOAR-решений активно растёт под влиянием нескольких факторов. Прежде всего, это усложнение кибератак и их растущая частота, порождающие потребность в автоматизированном реагировании. Острый дефицит специалистов по информационной безопасности дополнительно заставляет компании автоматизировать рутину, чтобы разгрузить имеющихся экспертов. Ужесточение требований регуляторов к срокам и порядку реагирования на инциденты также подталкивает к внедрению SOAR.

Спрос подогревается и технологическими изменениями: распространение облачных сервисов и удалённого формата работы расширяет поверхность атаки, в то время как бизнесу требуется минимизировать простои и ускорить восстановление после инцидентов. В то же время развитие технологий машинного обучения и улучшение интеграционных возможностей самих SOAR-платформ делают их внедрение более эффективным и доступным для компаний, стремящихся повысить зрелость своих центров безопасности (Security Operations Center, SOC).

Однако системы SOAR нельзя считать вершиной эволюции — вендоры продолжают развивать это направление. Эволюцию решений для управления инцидентами и автоматизации работы с ними можно показать на примере компании Innostage. Если в 2021 году вендор поставлял на рынок продукт Innostage IRP, в 2024 году выпустил обновлённую версию — Innostage SOAR, а уже в 2025 году представил продукт Innostage TDIR — решение класса Threat Detection and Incident Response. Другой пример — Security Vision NG SOAR — продукт нового поколения, который сам вендор позиционирует как SOAR, SIEM и EDR в одном решении.

Как развивается мировой рынок SOAR

Согласно отчёту Verified Market Reports, глобальный рынок Security Orchestration, Automation and Response демонстрирует стабильный ежегодный рост на уровне 14,1 %. В 2024 году его объём достиг 1,7 млрд долларов, а к 2033 году аналитики прогнозируют его увеличение до 5,4 млрд долларов.

 

Рисунок 3. Прогноз роста рынка SOAR (источник: verifiedmarketreports.com)

 

Похожие цифры приведены и в отчёте The Business Research Company: это аналитическое агентство оценило мировой рынок в 2025 году в 1,87 млрд долларов. По прогнозу, в 2026 году его объём достигнет 2,2 млрд долларов, а к 2030 году — 4,4 млрд долларов, увеличиваясь ежегодно на 18,6 %.

 

Рисунок 4. Прогноз роста рынка SOAR (источник: businessresearchinsights.com)

 

Лидеры мирового рынка аналитики: IBM, Cisco, Palo Alto Networks, Fortinet, Rapid7, Microsoft, Swimlane, D3 Security, Ayehu, Cyware, ThreatConnect, Anomali, Exabeam, Elastic, Imperva, Splunk, BigPanda, LogicHub, Securonix, Stellar Cyber, Uptycs, Tufin, Lumu Technologies, Cyberbit, Musarubra, Zscaler.

Крупные игроки рынка SOAR активно внедряют инновации — например, автономное обнаружение угроз на базе искусственного интеллекта. Такие системы автоматически выявляют атаки, сокращая время реакции и количество ложных срабатываний без участия человека. Яркий пример — запуск платформы Smart SOAR канадской компанией D3 Security в апреле 2023 года.

Как развивается российский рынок SOAR

Российские SOAR-системы занимали прочные позиции на рынке ИБ ещё до активной фазы импортозамещения, что обусловлено высоким спросом на автоматизацию процессов реагирования на инциденты и оркестрацию в крупных компаниях и госструктурах.

На текущий момент оценить объём российского сегмента SOAR затруднительно, поскольку подробные исследования на эту тему датируются 2022–2024 годами. Однако рынок решений для автоматизации процессов ИБ, несомненно, продолжает расти. Так, согласно исследованию компании «Информзащита», по итогам 2024 года рынок SOAR в России увеличился на 18 %. Поскольку этот сегмент демонстрировал значительный рост и в предыдущие годы, эксперты прогнозировали, что в 2025 году спрос на такие решения вырастет ещё на 22–24 %.

Отдельно стоит отметить, что российская компания Security Vision вошла в число ведущих мировых платформ по версии отчёта SPARK MatrixTM 2025: Security Analytics and Automation от аналитической компании QKS Group. В рейтинге, посвящённом системам класса SOAR, российское решение заняло 4-ю позицию по технологическому совершенству (Technology Excellence).

 

Рисунок 5. Рейтинг систем SOAR по мнению QKS Group (источник: qksgroup.com)

 

Обзор отечественных систем для управления инцидентами и автоматизации работы с ними

В этом обзоре мы рассматриваем не только классические системы SOAR, но и комплексные решения на их основе, предназначенные для автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты ИБ. Все эти продукты позволяют стратегически планировать и организовывать действия как отдельных специалистов, так и команд центров безопасности (Security Operations Center, SOC), документировать события атак, сокращать время и ресурсы, затрачиваемые на обработку инцидентов.

Решения класса SOAR

Функции решений SOAR и IRP во многом пересекаются, поэтому ранее их часто относили к единой линейке — SOAR/IRP. Однако представленные сейчас на рынке решения для автоматизированной обработки инцидентов позиционируются именно как SOAR.

 

 

ASoar

ASoar — это отечественная платформа класса «оркестрация, автоматизация и реагирование на инциденты информационной безопасности» (Security Orchestration, Automation, and Response, SOAR), которая выступает в роли координатора систем информационной безопасности. Решение собирает и анализирует события из множества разнородных источников, позволяя автоматизировать стандартные процедуры реагирования на внешние киберугрозы и значительно ускоряя работу подразделений информационной безопасности.

Платформа ASoar обеспечивает полную автоматизацию мониторинга и реагирования на потенциальные угрозы, что позволяет освободить команду безопасности от выполнения рутинных операций. Специалисты получают удобное рабочее место для мониторинга инцидентов и программирования сценариев автоматического реагирования.

По заявлению разработчика, платформа ASoar демонстрирует следующие показатели эффективности: 99,98 % атак нейтрализуются системой в автоматическом режиме при среднем времени реакции на инцидент 0,12 секунды. Доля ложных срабатываний и событий, требующих ручного разбора, составляет менее 0,0000002 %. Система выполняет до 1000 защитных операций в минуту, что в совокупности даёт более 1000000 операций в сутки — объём работ, сопоставимый с загрузкой центра безопасности (Security Operations Center, SOC) с 100 сотрудниками.

 

Рисунок 6. Дашборд ASOAR с общей информацией о системе

 

Особенности продукта:

• Облачная модель предоставления доступа.
• Открытый код и прозрачная логика принятия решений.
• Работа внутри защищаемого контура без прямого доступа к циркулирующему трафику.
• Собственная сигнальная подсистема для выявления угроз на ранних стадиях.
• Предоставление средств активного выявления угроз (цели-ловушки для привлечения атак и несанкционированных исследований).
• Возможность работы в гетерогенных сетях.

Решение входит в реестр РПО (реестровая запись № 20687 от 25.12.2023).

Более подробные сведения о продукте вы найдёте на сайте производителя.

R-Vision SOAR

R-Vision SOAR — это решение, которое можно использовать в качестве единой точки управления для команды центра безопасности (Security Operations Center, SOC), что позволяет централизованно обрабатывать инциденты и автоматизировать до 90 % повторяющихся задач. По данным разработчика, внедрение системы сокращает время реакции на инциденты в зависимости от их типа, что позволяет существенно снизить нагрузку на аналитиков первой линии.

R-Vision SOAR агрегирует данные из различных источников, автоматизирует процессы обогащения информации, реагирования и реализации защитных мер, а также обеспечивает пространство для совместной работы специалистов по информационной безопасности.

 

Рисунок 7. Агрегация данных из различных источников в R-Vision SOAR

 

Особенности продукта:

• Полный контекст по инциденту в едином окне, обеспечивающий автоматизацию до 90 % рутинных операций для оператора центра безопасности (Security Operations Center, SOC).
• Простой и удобный в работе конструктор с предустановленной функциональностью, справочниками и шаблонами «из коробки».
• Нативная интеграция между продуктами R-Vision, коробочные интеграции с ведущими ИБ- и ИТ-решениями.
• Гибкость и устойчивость архитектуры за счёт поддержки мультиарендности, отказоустойчивости, масштабирования и открытого API.
• Автоматизация реагирования (построение цикла обработки инцидента, конструктор плейбуков, технические меры реагирования, конструктор коннекторов и запросов).
• Встроенный сервис взаимодействия с ГосСОПКА и ФинЦЕРТ, получение и обработка бюллетеней НКЦКИ.

Решение входит в реестр РПО (реестровая запись № 1954 от 23.09.2016), сертифицировано ФСТЭК России (сертификат соответствия № 4782, выдан на «Центр контроля информационной безопасности Р-Вижн», в состав которого входит решение R-Vision SOAR).

Более подробные сведения о продукте вы найдёте на сайте производителя.

 

 

Security Vision SOAR

Security Vision SOAR — это комплексная платформа для управления жизненным циклом ИБ-инцидентов по лучшим практикам National Institute of Standards and Technology (NIST) / SANS Institute (SANS), которая объединяет оркестрацию, автоматизацию, аналитику и управление процессами в едином контуре. Система позволяет централизованно агрегировать инциденты из SIEM, EDR и других средств защиты, обогащать их данными внешних аналитических сервисов и оперативно реагировать через двусторонние интеграции с инфраструктурой. Это обеспечивает сквозную управляемость ИБ-инцидента на всех фазах реагирования без разрыва между инструментами и командами.

Система реализует No-Code-подход, позволяющий без программирования настраивать сценарии реагирования, а также изменять логику работы и пользовательский интерфейс. Встроенные ML-модели и экспертная база используются для оценки приоритета инцидентов, выявления ложных срабатываний и поиска схожих кейсов. Встроенные аналитические инструменты позволяют восстанавливать последовательность действий нарушителя, связывая разные инциденты в атаку, и оценивать возможные направления его дальнейшего распространения на критические активы.

 

Рисунок 8. Представления объектов в Security Vision SOAR

 

Особенности продукта:

• Объектно-ориентированный подход к реагированию: элементы инцидента (хосты, учётные записи, процессы, артефакты) представлены в виде объектов со связями и атрибутами.
• Динамические плейбуки: сценарии реагирования адаптируются в зависимости от контекста инцидента.
• Механизм Kill Chain: объединяет связанные события и ИБ-инциденты в единую последовательность действий злоумышленника.
• Экспертные рекомендации: формируются с учётом контекста инцидента и накопленного опыта обработки.
• Локальный ИИ-ассистент: используется для поиска информации, анализа инцидентов и поддержки аналитика.
• Автоматический маппинг на TI-отчёты: сопоставляет инциденты с известными сценариями и техниками атак.

Решение входит в реестр РПО (реестровая запись № 364 от 08.04.2016), сертифицировано ФСТЭК России (сертификат соответствия № 4574 от 02.09.2022), ФСБ России (заключение № 149/3/6/908 от 01.10.2024), Минобороны России (сертификат соответствия № 7564 от 28.08.2025), ОАЦ Республики Беларусь (сертификат соответствия № BY/112 02.02. ТР027 036.01 01673 от 6.12.2024).

Более подробные сведения о продукте вы найдёте на сайте производителя.

 

 

UDV SOAR

Компания UDV Group предоставляет единый портфель решений для защиты технологических сетей, корпоративного сегмента и автоматизации в области объектовой безопасности. UDV SOAR — интегрированная платформа оркестрации средств защиты информации, реагирования на инциденты и автоматизации функций информационной безопасности, позволяющая существенно сократить время реагирования на инциденты компьютерной безопасности.

По данным вендора, внедрение решения позволяет уменьшить количество инцидентов, обрабатываемых вручную, с 10 тысяч до 500, а время реагирования на инцидент сокращается с трёх дней до 25 минут. Около 30 % инцидентов обрабатываются в автоматическом режиме, при этом система выполняет проверку на ложноположительные срабатывания. Автоматизация рутинных операций снижает нагрузку на аналитиков информационной безопасности и минимизирует вероятность ошибок, связанных с человеческим фактором.

 

Рисунок 9. Схема работы UDV SOAR

 

Особенности продукта:

• Встроенный генератор Python-скриптов на базе искусственного интеллекта и библиотека готовых сценариев реагирования на инциденты от вендора.
• Автоматическое выполнение рутинных задач и проверка на ложноположительные срабатывания.
• Ведение статистики, построение аналитических панелей мониторинга, формирование отчётности, направление уведомлений.
• Возможность настроить автоматическую реакцию на инциденты на любых узлах ИТ-инфраструктуры.
• Возможность интеграции с разными средствами защиты (SIEM, EDR, DLP, TIP, межсетевыми экранами, службами каталогов и другими).
• Возможность разработки и тестирования собственных скриптов и плейбуков на различных языках (Ansible, Bash, Python, PowerShell).

Решение входит в реестр РПО (реестровая запись № 26970 от 14.03.2025).

Более подробные сведения о продукте вы найдёте на сайте производителя.

Усовершенствованные комплексные решения

Всё больше вендоров делает ставку на разработку метапродуктов на базе SOAR. Благодаря настройке механизмов защиты до совершения атаки такие решения повышают эффективность обороны корпоративной инфраструктуры за счёт замедления реализации недопустимого события и ускорения реагирования.

 

 

MaxPatrol 360

В апреле 2026 года компания Positive Technologies расширила продуктовый портфель и выпустила на рынок MaxPatrol 360 — единый центр управления расследованиями и операционной работой SOC. Вендор подчёркивает, что функциональность MaxPatrol 360 пересекается с возможностями IRP- и SOAR-систем лишь отчасти, при этом именно этот класс решений является наиболее близким по назначению продукта.

MaxPatrol 360 позволяет специалистам SOC и сотрудникам ИБ-подразделений централизованно управлять безопасностью инфраструктуры и процессами работы центра мониторинга через единую консоль, оперативнее реагировать на инциденты и проводить расследования, сокращая долю ручного труда. По результатам внутреннего исследования Positive Technologies, внедрение MaxPatrol 360 обеспечивает повышение эффективности работы ИБ-команды на 50 %.

Для организации расследований и автоматизации обработки киберинцидентов MaxPatrol 360 агрегирует данные с различных средств защиты, развёрнутых в инфраструктуре, — как собственных продуктов вендора, так и решений сторонних разработчиков. Например, при взаимодействии с продуктами Positive Technologies клиенты получают возможность с минимальным количеством ложных срабатываний выявлять нелегитимную и вредоносную активность в сетевом трафике (с помощью PT NAD), на конечных узлах (MaxPatrol EDR и MaxPatrol EPP), аномалии в поведении на основе логов (через MaxPatrol SIEM), а также находить уязвимости на активах с помощью MaxPatrol VM.

 

Рисунок 10. Интерфейс MaxPatrol 360

 

Особенности продукта:

• Единая консоль центра управления SOC, объединяющая все необходимые инструменты для команды ИБ.
• Поддержка мультитенантности: централизованное управление сотнями тенантов, объединённых в единую структуру.
• Контроль на каждом этапе жизненного цикла инцидента — от обнаружения до реагирования и отчётности.
• Автоматизация рутинных задач с помощью готовых плейбуков, ускорение расследования инцидентов и автоматический запуск реагирования через комплементарные решения.
• Анализ инцидентов с сохранением контекста за счёт агрегации данных из множества тенантов в одном рабочем пространстве.
• Интеграция с NTA-, SIEM- и VM-системами, взаимодействие с регуляторами (НКЦКИ (ГосСОПКА) и Банк России (ФинЦЕРТ)) посредством встроенных расширений.

Решение входит в реестр РПО (реестровая запись № 32546 от 18.03.2026).

Более подробные сведения о продукте вы найдёте на сайте производителя.

 

 

Security Vision NG SOAR (Next Generation SOAR)

Security Vision NG SOAR — решение для управления ИБ-инцидентами, объединяющее возможности SIEM и SOAR на единой платформе. Продукт обеспечивает сбор и корреляцию событий, выявление инцидентов, их расследование и реагирование в рамках единого процесса без необходимости интеграции разрозненных систем. Подход основан на методологии National Institute of Standards and Technology (NIST) / SANS Institute (SANS) и предполагает сквозное сопровождение ИБ-инцидента — от обнаружения до постинцидентной обработки.

Платформа реализует No-Code-подход, позволяющий без программирования настраивать правила корреляции, сценарии реагирования и логику обработки инцидентов. Встроенные механизмы нормализации и корреляции обеспечивают обработку событий из различных источников, включая ситуации с неполной или асинхронной доставкой данных, с возможностью ретроспективного восстановления последовательности событий. Интеграция с внешними источниками экспертизы, включая базы угроз и требования регуляторов, позволяет использовать единый контекст для анализа и реагирования.

В системе также предусмотрены инструменты аналитики, позволяющие восстанавливать последовательность развития ИБ-инцидента (kill chain) и оценивать возможные направления его распространения с учётом структуры инфраструктуры и связей между объектами. Дополнительно поддерживается автоматизированное взаимодействие с государственными центрами мониторинга и реагирования, что позволяет учитывать требования регуляторов в рамках обработки инцидентов.

 

 

Рисунок 11. Граф связей и рекомендации в NG SOAR

 

Особенности продукта:

• Встроенный SIEM, полный цикл обработки ИБ-инцидентов по NIST.
• Детектирование ИБ-инцидентов и расследование кибератак на основе технологий машинного обучения.
• Самостоятельное первичное категорирование (триаж) системой поступающих из средств защиты информации (СЗИ) оповещений.
• Динамические плейбуки для автоматической адаптации реагирования под конкретную ситуацию.
• Поддержка визуальных графов связей, интерактивных карт атак и тепловых карт техник MITRE ATT&CK.
• Применение механизма UEBA для выявления аномалий и возможных ИБ-инцидентов в инфраструктуре.

Более подробные сведения о продукте вы найдёте на сайте производителя. Решение построено на базе Security Vision SOAR, входящего в реестр отечественного ПО и сертифицированного ФСТЭК, ФСБ и Минобороны России.

Данный перечень метапродуктов не является исчерпывающим. В качестве примера подобных решений можно привести Solar SIEM, объединявший функции SIEM и SOAR, и многие другие продукты, которые включают функции SOAR/IRP и также могут использоваться для автоматизации процессов в области ИБ.

Выводы

Кибератаки — это та реальность, с которой нельзя не считаться. Оперативность и качество реагирования на угрозы напрямую влияют на сохранность данных и непрерывность критически важных процессов. В таких условиях системы SOAR становятся фундаментом защитной архитектуры, позволяя значительно повысить эффективность и отказоустойчивость ИТ-инфраструктуры. Но стоит чётко понимать, что внедрение таких решений принесёт ожидаемый результат только при системном подходе и участии квалифицированных специалистов, способных адаптировать инструмент под потребности компании.

Решения классов IRP и SOAR — это возможность внести порядок в управление инцидентами: они агрегируют события из множества разрозненных источников, автоматизируют рутинные операции, синхронизируют работу распределённых команд и кардинально сокращают время реакции на угрозу — от её детектирования до полного устранения.

Метапродукты, в основу которых положены системы оркестровки, автоматизации и реагирования на инциденты информационной безопасности, представляют собой новую ступень развития средств защиты. Такие решения объединяют функции сразу нескольких средств защиты информации (СЗИ), что позволяет командам центров безопасности (SOC) обнаруживать, отражать и предупреждать угрозы в автоматическом или полуавтоматическом режиме ещё более эффективно.