2022년 7월 3일
SOAR (Security Orchestration, Automation, and Response)
1. SOAR의 개요
- SOAR: Security Orchestration, Automation, and Response
| 필요성 |  |
|---|---|
| 개념 | 다양한 보안 위협 대응 프로세스를 자동화/조율하여, 단순 반복 보안 관제 업무 효율화와 다양한 보안 이벤트를 신속 정확하게 대응하는 보안 솔루션 |
- 보안 관제 실무자는 단순 반복 수행 업무 시간 절감, 업무량 감소 및 사고 대응에 집중하도록 지원
- 보안 관리자는 보안 이벤트의 전사 관점 현황 파악, 영향도 분석 통해 전사 보안 위협 대응 역량 확보
2. SOAR의 주요 기능 및 구성요소
(1) SOAR의 주요 기능
| 구분 | 주요 기능 | 설명 |
|---|---|---|
| Orchestration | 보안솔루션 연동 | – 다양한 보안 솔루션 연동, 탐지된 이벤트 자동 분석 – 하나의 화면에서 현재 보안 상황 확인 및 운영 |
| 가시성 제공 | – 통합 보안 대시보드 제공 – 사이버 킬 체인 적용, 대응절차 시각화 | |
| Automation | 업무 자동화 | – 단순 반복 업무를 자동화, 편의성 제공 – 대응 시나리오 설계 등 고차원 업무 집중 환경 제공 |
| 동적 플레이북 | – 사전 정의된 플레이북으로 일관된 프로세스 작업 처리를 통해 품질 편차 최소화 | |
| 작업 및 스크립트 | – 워크플로우에서 스크립트 기능을 추가하여 플랫폼 기능 자동화 운영 | |
| Response | 사고 대응 및 협업 | – 사고대응 내역과 대응방식 등 의사결정 기록 – 보안 관제 센터 관리자 협업체계 지원 |
| 리포팅 | – 사고 대응에 대한 지표 관리, 의사결정 지원 |
(2) SOAR의 구성요소
| 구성요소 간 관계 | 구성요소 | 역할 |
|---|---|---|
 | SOA | – Security Orchestration and Automation – 반복 업무를 파악, 소요되는 시간 효율과 |
| SIRP | – Security Incident Response Platform – SLA 기반 SIEM 위협대응 프로세스 자동화 | |
| TIP | – Threat Intelligence Platform – 데이터 자동분석 및 최적 대응 솔루션 제시 |
3. SOAR 기반 위협대응 절차
 |
- 발생한 인시던트를 구분하여 분석 후 Playbook을 통해 대응 자동화 및 응답 처리
- SOAR는 보안 위협 대응 지능화 관점에서 SIEM(Security Information & Event Management)과 유사하지만 로그 및 경보 처리, 위협 식별 방법 등 차이점이 존재
4. SOAR과 SIEM 비교
| 비교항목 | SOAR | SIEM |
|---|---|---|
| 데이터 집계 | 보안 경고 및 위협 지능화 집계 | 로그 집계 |
| 경보 처리 | SIEM 및 다른 툴로부터 경보 수집 | 경보 생성 |
| 위협 식별 | 상관관계 분석 기반 위협 식별 | 데이터 분석하여 잠재적 위협 식별 |
| 응답 워크플로우 | E2E 자동화 응답 워크플로우 | 제한된 응답 워크플로우 |
| 역할 | 통합 보안 솔루션 조율 | 사용자/분석가에게 의심 활동 알림 |
[참고]
- Gartner, “Security Orchestration, Automation and Response (SOAR)”, 2018
About The Author
도리
One Comment
와 최근 코스콤 뉴스룸에서 soar이라는 것을 봤는 데 이런 내용이었군요!!! 감사합니다. 잘보고 갑니다.