SOAR (Security Orchestration, Automation, and Response)

1. SOAR의 개요

  • SOAR: Security Orchestration, Automation, and Response
필요성
개념다양한 보안 위협 대응 프로세스를 자동화/조율하여, 단순 반복 보안 관제 업무 효율화와 다양한 보안 이벤트를 신속 정확하게 대응하는 보안 솔루션
  • 보안 관제 실무자는 단순 반복 수행 업무 시간 절감, 업무량 감소 및 사고 대응에 집중하도록 지원
  • 보안 관리자는 보안 이벤트의 전사 관점 현황 파악, 영향도 분석 통해 전사 보안 위협 대응 역량 확보

 

2. SOAR의 주요 기능 및 구성요소

(1) SOAR의 주요 기능

구분주요 기능설명
Orchestration보안솔루션 연동– 다양한 보안 솔루션 연동, 탐지된 이벤트 자동 분석
– 하나의 화면에서 현재 보안 상황 확인 및 운영
가시성 제공– 통합 보안 대시보드 제공
사이버 킬 체인 적용, 대응절차 시각화
Automation업무 자동화– 단순 반복 업무를 자동화, 편의성 제공
– 대응 시나리오 설계 등 고차원 업무 집중 환경 제공
동적 플레이북– 사전 정의된 플레이북으로 일관된 프로세스 작업 처리를 통해 품질 편차 최소화
작업 및 스크립트– 워크플로우에서 스크립트 기능을 추가하여 플랫폼 기능 자동화 운영
Response사고 대응 및 협업– 사고대응 내역과 대응방식 등 의사결정 기록
– 보안 관제 센터 관리자 협업체계 지원
리포팅– 사고 대응에 대한 지표 관리, 의사결정 지원

(2) SOAR의 구성요소

구성요소 간 관계구성요소역할
SOA– Security Orchestration and Automation
– 반복 업무를 파악, 소요되는 시간 효율과
SIRP– Security Incident Response Platform
SLA 기반 SIEM 위협대응 프로세스 자동화
TIP– Threat Intelligence Platform
– 데이터 자동분석 및 최적 대응 솔루션 제시

 

3. SOAR 기반 위협대응 절차

  • 발생한 인시던트를 구분하여 분석 후 Playbook을 통해 대응 자동화 및 응답 처리
  • SOAR는 보안 위협 대응 지능화 관점에서 SIEM(Security Information & Event Management)과 유사하지만 로그 및 경보 처리, 위협 식별 방법 등 차이점이 존재

 

4. SOAR과 SIEM 비교

비교항목SOARSIEM
데이터 집계보안 경고 및 위협 지능화 집계로그 집계
경보 처리SIEM 및 다른 툴로부터 경보 수집경보 생성
위협 식별상관관계 분석 기반 위협 식별데이터 분석하여 잠재적 위협 식별
응답 워크플로우E2E 자동화 응답 워크플로우제한된 응답 워크플로우
역할통합 보안 솔루션 조율사용자/분석가에게 의심 활동 알림
  • SIEM은 비정상적 활동 집계 및 경보를 생성하고, SOAR는 SIEM 규칙에 따른 대응 자동화를 통해 SecOps 기능으로 확장

 

[참고]

  • Gartner, “Security Orchestration, Automation and Response (SOAR)”, 2018
One Comment

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^