X

SOAR (Security Orchestration, Automation, and Response)

1. SOAR의 개요

  • SOAR: Security Orchestration, Automation, and Response
필요성
개념 다양한 보안 위협 대응 프로세스를 자동화/조율하여, 단순 반복 보안 관제 업무 효율화와 다양한 보안 이벤트를 신속 정확하게 대응하는 보안 솔루션
  • 보안 관제 실무자는 단순 반복 수행 업무 시간 절감, 업무량 감소 및 사고 대응에 집중하도록 지원
  • 보안 관리자는 보안 이벤트의 전사 관점 현황 파악, 영향도 분석 통해 전사 보안 위협 대응 역량 확보

 

2. SOAR의 주요 기능 및 구성요소

(1) SOAR의 주요 기능

구분 주요 기능 설명
Orchestration 보안솔루션 연동 – 다양한 보안 솔루션 연동, 탐지된 이벤트 자동 분석
– 하나의 화면에서 현재 보안 상황 확인 및 운영
가시성 제공 – 통합 보안 대시보드 제공
사이버 킬 체인 적용, 대응절차 시각화
Automation 업무 자동화 – 단순 반복 업무를 자동화, 편의성 제공
– 대응 시나리오 설계 등 고차원 업무 집중 환경 제공
동적 플레이북 – 사전 정의된 플레이북으로 일관된 프로세스 작업 처리를 통해 품질 편차 최소화
작업 및 스크립트 – 워크플로우에서 스크립트 기능을 추가하여 플랫폼 기능 자동화 운영
Response 사고 대응 및 협업 – 사고대응 내역과 대응방식 등 의사결정 기록
– 보안 관제 센터 관리자 협업체계 지원
리포팅 – 사고 대응에 대한 지표 관리, 의사결정 지원

(2) SOAR의 구성요소

구성요소 간 관계 구성요소 역할
SOA – Security Orchestration and Automation
– 반복 업무를 파악, 소요되는 시간 효율과
SIRP – Security Incident Response Platform
SLA 기반 SIEM 위협대응 프로세스 자동화
TIP – Threat Intelligence Platform
– 데이터 자동분석 및 최적 대응 솔루션 제시

 

3. SOAR 기반 위협대응 절차

  • 발생한 인시던트를 구분하여 분석 후 Playbook을 통해 대응 자동화 및 응답 처리
  • SOAR는 보안 위협 대응 지능화 관점에서 SIEM(Security Information & Event Management)과 유사하지만 로그 및 경보 처리, 위협 식별 방법 등 차이점이 존재

 

4. SOAR과 SIEM 비교

비교항목 SOAR SIEM
데이터 집계 보안 경고 및 위협 지능화 집계 로그 집계
경보 처리 SIEM 및 다른 툴로부터 경보 수집 경보 생성
위협 식별 상관관계 분석 기반 위협 식별 데이터 분석하여 잠재적 위협 식별
응답 워크플로우 E2E 자동화 응답 워크플로우 제한된 응답 워크플로우
역할 통합 보안 솔루션 조율 사용자/분석가에게 의심 활동 알림
  • SIEM은 비정상적 활동 집계 및 경보를 생성하고, SOAR는 SIEM 규칙에 따른 대응 자동화를 통해 SecOps 기능으로 확장

 

[참고]

  • Gartner, “Security Orchestration, Automation and Response (SOAR)”, 2018
Categories: 보안
도리:

View Comments (1)

  • 와 최근 코스콤 뉴스룸에서 soar이라는 것을 봤는 데 이런 내용이었군요!!! 감사합니다. 잘보고 갑니다.