SOAR이란?
SOAR(보안 오케스트레이션, 자동화 및 대응) 기술은 단일 플랫폼 내에서 다양한 사용자와 도구 간의 작업을 조정, 실행 및 자동화할 수 있게 해줍니다. 이를 통해 조직은 사이버 보안 공격에 신속하게 대응할 수 있을 뿐만 아니라 향후 발생할 사고를 관찰, 이해 및 방지할 수 있으므로 전반적인 보안 상태가 개선됩니다.
Gartner가 정의한 포괄적 SOAR 제품은 위협 및 취약점 관리, 보안 인시던트 대응, 보안 운영 자동화라는 세 가지 주요 소프트웨어 기능으로 작동하도록 설계되었습니다.
위협 및 취약점 관리(오케스트레이션)는 사이버 위협을 수정하는 데 도움이 되는 기술을 다루고, 보안 운영 자동화(자동화)는 운영 내에서 자동화 및 오케스트레이션을 지원하는 기술과 관련되어 있습니다.
SOAR은 알림 데이터를 수집하고, 이후 해당 알림은 대응 워크플로나 작업을 자동화/오케스트레이션하는 플레이북을 트리거합니다. 그런 다음, 인력과 머신 러닝의 조합을 사용하여 조직은 향후 위협에 대한 자동화된 인시던트 대응 조치를 이해하고 우선순위를 지정하기 위해 이와 같은 다양한 데이터를 분석할 수 있으며, 이를 통해 사이버 보안을 처리하고 보안 운영을 개선하는 데 보다 효율적이고 효과적인 접근 방식을 구축할 수 있습니다.
그림 1: 멀웨어 분석을 위한 샘플 SOAR 플레이북
SIEM이란?
SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 보안 팀과 보안 운영 센터(SOC)가 보안 데이터를 수집 및 분석하는 것은 물론 정책을 생성하고 알림을 설계하는 데 도움이 되는 서비스와 도구를 마련하는 것입니다. 단일 이벤트 또는 준비된 이벤트가 SIEM 규칙을 트리거하고 나면 SIEM 시스템은 데이터 수집, 통합, 상관관계 지정은 물론 알림 등을 사용하여 보안 정보 및 이벤트를 관리합니다. 조직은 특정 보안 관련 사안에 맞게 규칙, 보고, 알림 및 대시보드와 같은 정책을 셋업할 수도 있습니다.
IT 팀은 SIEM 도구를 통해 다음과 같은 작업을 수행할 수 있습니다.
- 이벤트 로그 관리를 사용하여 여러 소스의 데이터 통합
- 전사적인 가시성의 실시간 확보
- if-then 규칙을 사용하여 로그에서 수집된 보안 이벤트의 상관관계를 지정하여 실행 가능한 인텔리전스를 데이터에 효과적으로 추가
- 대시보드를 통해 관리할 수 있는 자동 이벤트 알림 사용
SIEM은 보안 정보와 보안 이벤트의 관리를 결합합니다. 이것은 실시간 모니터링과 시스템 관리자의 알림을 사용하여 수행할 수 있습니다.
SOAR과 SIEM의 비교
SOAR과 SIEM은 모두 보안 문제를 탐지하고 문제의 특성에 따라 데이터를 수집하기 때문에 흔히 유사한 제품으로 정의합니다. 또한 두 가지 모두 보안 담당자가 문제를 해결하는 데 사용하는 알림을 다룹니다. 그러나 둘 사이에는 중요한 차이점이 있습니다.
SOAR은 SIEM과 유사한 중앙 집중식 플랫폼을 사용하여 데이터를 수집하고 보안 팀에 이를 알리지만 SIEM은 보안 애널리스트에게 알림만 전송합니다. 반면 SOAR 보안은 자동화된 플레이북 또는 워크플로와 인공 지능(AI)을 사용하여 패턴 동작을 학습함으로써 조사 경로에 자동화 및 대응을 추가하여 유사한 위협이 발생하기 전에 예측할 수 있도록 합니다. Cortex XSOAR과 같은 SOAR은 취약점 스캔 조사 결과, 클라우드 보안 알림, IoT 디바이스 알림 등 SIEM이 다루지 않는 소스의 알림을 수집하기 때문에 중복된 알림을 더 쉽게 제거합니다. 이는 실제로 SOAR 및 SIEM 통합에 일반적으로 사용되는 사례입니다. 알림을 수동으로 처리하는 데 소요되는 시간을 줄여 IT 보안 직원이 위협을 더 쉽게 탐지하고 해결할 수 있습니다.
보안 오케스트레이션과 자동화란?
보안 자동화는 수동 인력 개입 없이 사이버 위협을 탐지, 조사 및 복구 업데이트할 수 있는 기능을 갖춘 보안 조치의 시스템 기반 실행입니다. SOC 팀의 일상 업무 대부분을 실행하기 때문에, SOC 팀은 더 이상 반복적이고 지루한 작업을 수행하거나 모든 알림이 발생할 때마다 수동으로 해결하지 않아도 됩니다. 보안 자동화는 다음과 같은 작업을 수행합니다.
- 환경 내 위협 탐지
- 잠재적 위협 분류
- 인시던트에 조치를 취할지 여부 결정
- 문제 억제 및 해결
이 모든 것이 인력의 개입 없이 몇 초 만에 이루어집니다. 보안 애널리스트는 이벤트를 조사하고 합법적인 인시던트인지 여부를 결정하기 위해 단계, 지침, 의사 결정 워크플로를 따를 필요가 없습니다. 반복적이고 시간이 소요되는 작업은 처리하지 않아도 되기 때문에 더 중요하고 가치있는 작업에 집중할 수 있습니다.
보안 오케스트레이션은 인시던트 조사, 대응, 그리고 결국 해결과 같은 일련의 상호 의존적인 보안 조치를 모두 하나의 복잡한 인프라에서 수행하는 시스템 기반 조정입니다. 이를 통해 제품과 워크플로 전반의 작업을 자동화하든, 더 많은 주의가 필요한 중요한 인시던트에 대해 에이전트에게 수동으로 알리든 관계없이 모든 보안 및 비보안 도구가 조화를 이루며 작동하도록 보장합니다.
보안 오케스트레이션은 다음을 수행할 수있습니다.
- 보안 인시던트에 대한 더 우수한 컨텍스트를 제공합니다. 보안 오케스트레이션 도구는 다양한 소스의 데이터를 집계하여 더 심층적인 인사이트를 제공합니다. 따라서 전체 환경을 포괄적으로 파악할 수 있습니다.
- 더 심층적이고 의미있는 조사가 가능합니다. 보안 애널리스트는 알림의 관리를 중단하고 해당 인시던트가 발생하는 원인 조사를 시작할 수 있습니다. 또한 보안 오케스트레이션 도구는 일반적으로 고도로 대화형이고 직관적인 대시보드, 그래프 및 타임라인을 제공하며, 이러한 시각 자료는 조사 과정에서 매우 유용할 수 있습니다.
- 협업을 강화합니다. 다른 계층의 애널리스트, 관리자, CTO와 최고 경영진, 법무팀 및 인사 담당자 등 추가적인 담당자 또한 특정 유형의 보안 인시던트에 참여해야 할 수 있습니다. 보안 오케스트레이션은 필요한 모든 데이터를 모든 사람이 손쉽게 이용할 수 있기 때문에 협업, 문제 해결이 더욱 효과적으로 이루어집니다.
결국, 보안 오케스트레이션은 방어의 통합성을 높여 보안 팀이 복잡한 프로세스를 자동화할 수 있으며 보안 인력, 프로세스 및 도구를 통해 얻는 가치를 극대화합니다.
자동화와 오케스트레이션의 차이점은 무엇인가?
보안 자동화와 보안 오케스트레이션은 흔히 구별없이 사용되는 용어지만, 두 플랫폼은 매우 다른 역할을 수행합니다.
- 보안 자동화는 반복적인 인시던트, 오탐의 탐지와 대응에 소요되는 시간을 줄이기 때문에 알림이 오랫동안 해결되지 않은 채로 남아있지 않습니다.
- 보안 애널리스트가 조사 연구와 같은 전략 작업에 집중할 시간을 확보합니다.
- 각각의 자동화된 플레이북이 정해진 조치 과정을 통해 알려진 시나리오를 해결합니다.
- 보안 오케스트레이션을 사용하면 대규모 네트워크 및 여러 시스템이나 디바이스 전체에 데이터가 분산된 경우에도 여러 도구가 인시던트에 그룹으로 대응하여 정보를 쉽게 공유할 수 있습니다.
- 보안 오케스트레이션은 여러 자동화된 작업을 사용하여 완전하고 복잡한 프로세스나 워크플로를 실행합니다.
- SOAR 솔루션의 강점은 보안 운영 사용 사례를 신속하고 쉽게 구축할 수 있는 사전 구축된 통합 범위에 있습니다.
보안 자동화는 여러 단일 작업을 처리하기 때문에 보안 운영을 단순화하고 보다 효율적으로 실행하는 것이 중요한 반면, 보안 오케스트레이션은 서로 다른 모든 보안 도구를 연결하여 처음부터 끝까지 빠르고 효율적인 워크플로 프로세스를 만듭니다. 이들은 함께 짝을 이룰 때 최고의 상태로 작동하며 보안 그룹은 두 가지 모두를 도입할 때 효율과 생산성을 극대화할 수 있습니다.
위협 인텔리전스 관리(TIM)란?
보안 오케스트레이션, 자동화 및 대응과 함께 SOAR 플랫폼에는 위협 인텔리전스 관리(TIM) 또한 추가될 수 있습니다. 위협 인텔리전스 관리(TIM)를 통해 조직은 글로벌 위협 현황을 더 잘 이해하고 공격자의 다음 움직임을 예측하며 공격을 차단하기 위한 즉각적인 조치를 취할 수 있습니다.
위협 인텔리전스와 위협 인텔리전스 관리에는 중요한 차이가 있습니다. 위협 인텔리전스는 위협에 대한 데이터와 정보이며, 위협 인텔리전스 관리는 잠재적 공격과 그 의도, 동기, 기능에 대한 데이터의 수집, 표준화, 강화, 조치입니다. 이런 정보는 조직이 더욱 빠르고 정보에 입각한 보안 결정을 내리는 데 도움이 되기 때문에 사이버위협에 더 잘 대비할 수 있습니다.
SOAR이 중요한 이유는?
끊임없이 발전하고 점점 디지털화되어 가는 환경에서 오늘날 조직은 사이버 보안과 관련한 수많은 문제에 직면합니다. 더 복잡하고 악의적인 위협이 존재할수록 더 많은 기업은 보안 운영의 미래에 대한 효율적이고 효과적인 접근 방식을 개발해야 합니다. 이러한 요구 사항으로 인해 SOAR은 보안 운영 팀이 알림과 위협을 관리, 분석 및 대응하는 방식을 변화시키고 있습니다.
오늘날의 보안 운영 팀은 매일 수천 건의 알림을 수동으로 처리해야 하는 업무를 담당합니다. 이로 인해 오류와 주요 운영 비효율성의 문제가 발생할 여지가 있으며, 비효율적이고 사일로화되고 오래된 보안 도구의 문제는 물론 자격을 갖춘 사이버 보안 인재가 심각하게 부족한 상황입니다.
많은 보안 운영 팀이 서로 다른 시스템의 노이즈를 연결하는 데 어려움을 겪는 가운데, 이로 인해 오류가 발생하기 쉬운 수동 프로세스가 너무 많아지며 이 모두를 해결할 고도로 숙련된 인재가 부족한 문제로 이어지고 있습니다.
위협과 알림의 양이 점점 증가하고 이 모두를 해결할 리소스가 부족한 상황에서 애널리스트는 어떤 알림을 심각하게 받아들이고 조치를 취할 것인지, 또는 어떤 알림을 무시해야 할지 결정해야 하는 부담은 물론, 이로 인한 과로로 실제 리스크를 놓칠 위험에 놓이며 위협과 악성 에이전트에 대응하려고 할 때 엄청난 수의 오류를 범하게 됩니다.
이와 같은 이유로 조직은 알림과 대응 프로세스를 체계적으로 오케스트레이션 및 자동화할 수 있는 SOAR 플랫폼과 같은 시스템을 갖추는 것이 중요합니다. 가장 많은 시간, 에너지, 리소스를 소모하는 단순한 작업을 필터링함으로써, 보안 운영 팀은 인시던트의 처리 및 조사 시 효율과 생산성을 더 높일 수 있으며 따라서 조직의 전체 보안 태세를 대폭 향상할 수 있습니다.
SOAR를 이용하면 다음과 같은 장점이 있습니다.
- 보안, IT 운영 및 위협 인텔리전스 도구를 통합합니다. 다양한 공급업체의 도구를 포함하여 다양한 보안 솔루션을 모두 연결함으로써 더 포괄적인 수준의 데이터 수집 및 분석을 달성할 수 있습니다. 보안 팀은 다양한 콘솔과 도구를 오가는 작업을 더 이상 하지 않아도 됩니다.
- 모든 것을 한 곳에서 확인합니다. 보안 팀은 인시던트의 조사와 복구 업데이트에 필요한 모든 정보를 제공하는 단일 콘솔에 액세스할 수 있습니다. 보안 팀은 필요한 정보에 액세스하기 위해 한 곳으로만 이동하면 됩니다.
- 인시던트 대응 속도를 높입니다. SOAR은 평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR)을 모두 줄이는 것으로 입증되었습니다. 많은 작업이 자동화되어 있기 때문에 높은 비율의 인시던트가 즉각적이고 자동적으로 처리됩니다.
- 시간이 소모되는 작업을 예방합니다. SOAR은 보안 애널리스트의 시간을 잡아먹는 오탐, 반복 작업 및 수동 프로세스를 대폭 줄입니다.
- 더 우수한 인텔리전스에 액세스합니다. SOAR은 위협 인텔리전스 플랫폼, 방화벽, 침입 탐지 시스템, SIEM 및 기타 기술로부터 데이터를 집계하고 검증하여 더 큰 인사이트와 컨텍스트를 보안 팀에 제공합니다. 이를 통해 문제의 해결과 관행의 개선이 더 쉬워집니다. 문제 발생 시 애널리스트는 더 심층적이고 폭넓은 조사를 수행할 수 있습니다.
- 보고와 통신을 개선합니다. 한 곳에서 모든 보안 운영을 집계하고 직관적인 대시보드에 표시함으로써 이해관계자들은 워크플로를 개선하고 대응 시간을 줄이는 방법을 식별하는 데 도움이 되는 명확한 지표를 포함하여 필요한 모든 정보를 얻을 수 있습니다.
- 의사 결정 능력을 강화합니다. SOAR 플랫폼은 사전 구축된 플레이북, 처음부터 플레이북을 구축하기 위한 드래그 앤 드롭 기능, 자동화된 알림 우선순위 지정과 같은 기능을 제공하여 경험이 부족한 보안 애널리스트도 간편하게 사용하는 것을 목표로 합니다. 또한 SOAR 도구는 데이터를 수집하여 애널리스트가 인시던트를 더 쉽게 평가하고 이를 복구 업데이트하기 위한 적절한 조치를 취할 수 있는 인사이트를 제공합니다.
SOAR 보유 및 사용의 가치
기업과 조직은 모든 유형의 보안 인시던트의 영향을 최소화하는 동시에 기존 보안 투자 가치를 극대화하고 법적 책임의 리스크와 비즈니스 다운타임을 전반적으로 감소시키는 SOAR의 가치를 발견하고 있습니다. 기업은 SOAR을 통해 다음을 실현함으로써 보안 문제를 해결 및 극복합니다.
- 기존 보안 시스템을 통합하고 데이터 수집을 중앙 집중화하여 전체적인 가시성을 확보하고 이를 통해 기업의 보안 태세와 운영 효율 및 생산성을 대폭 강화합니다.
- 반복적인 수동 작업을 자동화하고 보안 인시던트 수명 주기의 모든 측면을 관리하여 애널리스트 생산성을 높이고 애널리스트가 수동 작업을 수행하는 대신 보안 향상에 더욱 집중할 시간을 확보할 수 있게 합니다.
- 인시던트 분석 및 대응 절차를 정의하는 것은 물론 보안 플레이북을 활용하여 일관되고 투명하며 문서화된 방식으로 대응 프로세스를 우선순위 지정하고 표준화하며 확장합니다.
- 더 빠른 인시던트 대응에 참여하여 애널리스트가 인시던트 심각도 수준을 빠르고 정확하게 식별하고 이를 보안 알림에 할당하여 알림을 줄이고 알림 피로를 완화합니다.
- 프로세스와 운영을 간소화하여 잠재적 취약점을 선제적이고 반응적으로 보다 우수하게 식별하고 관리할 수 있습니다.
- 실시간 협업을 지원하고 구조화되지 않은 조사를 지원합니다. 팀과 팀원 간의 원활한 의사소통과 추적을 지원하는 기능을 제공하고 각 보안 인시던트를 대응하는 데 가장 적합한 애널리스트에게 라우팅하여 수행할 수 있게 합니다.
이 ROI 계산기를 사용하여 제공되는 맞춤 보고서를 통해 XSOAR의 이점을 확인하여 규모와 사용을 기준으로 XSOAR이 조직에 제공할 수 있는 비즈니스 가치를 명확하게 확인하세요.
SOAR 사용 사례
다음 표는 SOAR에 대한 일반적인 사용 사례의 예를 제공합니다.
사용 사례 |
오케스트레이션의 기능(대략적인 개요) |
보안 알림 처리 |
피싱 강화 및 대응 - 잠재적 피싱 이메일을 수집하고, 플레이북을 트리거하고, 영향을 받은 사용자 분류 및 참여와 같은 반복 가능한 작업을 자동화하고, 실행, 지표를 추출 및 확인하고, 오탐을 식별하고, 대규모로 표준화된 대응을 위해 SOC를 준비합니다. 엔드포인트 멀웨어 감염 - 위협 피드 데이터를 엔드포인트 도구에서 가져오고, 해당 데이터를 강화하고, 검색된 파일/해시를 SIEM(보안 정보 및 이벤트 관리) 솔루션과 교차 참조하고, 애널리스트에게 알리고, 엔드포인트를 정리하고, 엔드포인트 도구 데이터베이스를 업데이트합니다. 사용자 로그인 실패 - 사전정의된 횟수만큼 실패한 사용자 로그인 시도 후에 플레이북을 트리거하고, 사용자를 참여시키고, 응답을 분석하고, 비밀번호를 만료하고, 플레이북을 닫아 실패한 로그인이 실제 행동인지 악성 행동인지 평가합니다. 비정상적인 위치에서 로그인 - VPN 및 CASB(클라우드 액세스 보안 브로커) 존재 여부를 확인하고, IP를 교차 참조하고, 사용자와 침해 여부를 확인하고, 차단을 실행하고, 플레이북을 닫아 잠재적으로 악의적인 VPN(가상 사설망) 액세스 시도를 식별합니다. |
보안 운영 관리 |
SSL(Secure Sockets Layer) 인증 관리 - 엔드포인트를 확인하여 어떤 SSL 인증서가 만료되었거나 곧 만료될 것인지 확인하고, 사용자에게 알리고, 며칠 후 상태를 다시 확인하고, 해당 사용자에게 문제를 알리고, 플레이북을 닫습니다. 엔드포인트 진단 및 시작 - 연결 및 에이전트 연결을 확인하고, 컨텍스트를 강화하고, 티켓을 개설하고, 에이전트를 시작하고, 플레이북을 닫습니다. 취약점 관리 - 취약점 및 자산 정보를 수집하고, 엔드포인트 및 CVE(Common Vulnerabilities and Exposures) 데이터를 강화하고, 취약점 컨텍스트를 쿼리하고, 심각도를 계산하고, 복구 업데이트 및 조사를 위해 보안 애널리스트에게 제어 권한을 넘겨주고 플레이북을 닫습니다. |
위협 헌팅 및 인시던트 대응 |
침해 지표(IOC) 헌팅 - 첨부 파일에서 IOC를 가져오고 추출하고, 위협 인텔리전스 도구에서 IOC를 헌팅하고, 데이터베이스를 업데이트하고 플레이북을 닫습니다. 멀웨어 분석 - 여러 소스의 데이터를 수집하고, 악성 파일을 추출 및 디토네이션하고, 보고서를 생성 및 표시하고, 악성 여부를 검사하고, 데이터베이스를 업데이트하고 플레이북을 닫습니다. 클라우드 인식 인시던트 대응 - 클라우드 중심 위협 탐지 및 이벤트 로깅 도구에서 데이터를 사용하고, 클라우드와 온프레미스 보안 인프라 전반의 프로세스를 통합하고, SIEM과 상호 연관시키고, 지표를 추출 및 강화하고, 악성 여부를 검사하고, 정보의 검토를 위해 애널리스트에게 제어 권한을 넘겨주고, 데이터베이스를 업데이트하고 플레이북을 닫습니다. |
데이터 강화 자동화 |
IOC 강화 - 여러 소스의 데이터를 수집하고, 디토네이션할 모든 지표를 추출하고, URL, IPS 및 해시를 강화하고, 악성 여부를 검사하고, 데이터베이스를 업데이트하고, 정보 검토 및 조사를 위해 애널리스트를 초대하고 플레이북을 닫습니다. 인시던트 심각도 할당 - 다른 제품의 취약점 점수 확인 및 기존 지표에 점수가 할당되었는지 확인하고, 심각도를 할당하고, 사용자 이름과 엔드포인트가 중요 목록에 있는지 확인하고, 중요한 심각도를 할당하고 인시던트를 종결합니다. |
주요 보안 오케스트레이션 사용 사례에서 더 자세한 내용을 읽어보세요.
SOAR 플랫폼에서 찾을 것은 무엇인가요? 모범 사례 가이드
이제 SOAR을 정의하고 다양한 기능을 이해했다면 어떤 SOAR 제품이 조직의 요구 사항에 적합한지 어떻게 알 수 있을까요? SOAR 플랫폼에서 찾아야 할 것은 무엇인가요?
다양한 SOAR 제공업체를 비교할 때, 의사 결정 전 고려해야 할 다양한 몇 가지 요인이 있습니다. 핵심 기술 외에도 구매자의 의사 결정 과정은 전체적으로 제공되는 요소 및 서비스에 의해 크게 영향을 받습니다. 조직이 SOAR 제품을 구현하기 전에 고려해야 할 일부 요소에는 자체 성숙도, 필요한 기술 통합 및 도구 스택, 기존 프로세스, 선택한 구축 방법에 대한 평가가 포함됩니다.
조직이 보안 상태의 내부 감사를 수행한 후에는 SOAR 제품 자체와 관련된 요소를 고려해야 합니다. 고려할 사항은 다음과 같습니다.
- 사용 편의성 및 다른 도구와의 연결: 보안 오케스트레이션 도구는 탐지, 강화, 대응 및 관련 도구 사이의 결합 섬유 역할을 수행해야 합니다.
조직은 SOAR 도구가 현재 구축하고 있는 탐지 도구에서 알림을 수집하고 강화, 대응 및 관련 도구 전반에서 작업을 조정하는 자동화된 플레이북을 실행하는 최종 상태 시나리오를 향해 노력해야 합니다.
플랫폼 내에서 몇 개의 명령 또는 작업이 실행될 수 있는가? 통합을 통해 다음과 같은 중점 분야를 해결할 수 있는가? 예를 들면 다음과 같습니다.
- 분류 및 매핑
- 탐지 및 모니터링
- 데이터 강화 및 위협 인텔리전스 피드
- 적용 및 대응
- 사용자 지정 통합 기능: 사용자 지정 통합을 구축하기 위한 메커니즘(예: 내부 SDK)이 플랫폼에 있는가? 플랫폼 온보딩 기간에 서비스 팀의 사용자 지정 통합 지원이 포함되는가? 해당 서비스가 제품 구매 가격에 추가되거나 일부를 차지하는가?
- 기본 제공(OOTB)/사전 구축된 통합: 플랫폼에 몇 개의 통합(범주의 범위와 각 범주의 깊이)이 포함되어 있는가? 시간이 지나면서 새로운 통합이 플랫폼에 추가되는가? 빈도는 얼마나 되는가? 해당 업데이트는 무료인가, 애드온 서비스인가?
- 인시던트 및 사례 관리: 플랫폼에 네이티브 사례 관리가 있는가, 아니면 관련 사례 관리 도구와 통합되는가? 플랫폼이 인시던트 타임라인의 복원을 지원하는가? 플랫폼이 인시던트 후 문서화 및 검토를 지원하는가? 플랫폼이 데이터 흐름을 강조하고 책임을 유지하기 위해 감사 추적을 생성하는가?
- 위협 인텔리전스와의 통합: 위협 인텔리전스는 맥락, 메커니즘, 지표, 영향, 그리고 자산에 대한 기존 또는 새로운 위협이나 위험에 대한 영향 및 행동 중심 조언을 포함한 증거 기반 지식입니다. 위협 인텔리전스가 통합된 SOAR 플랫폼은 수집된 지식을 사용하여 SOC 팀이 환경에 대한 외부 위협의 영향과 관련하여 정보에 입각한 결정을 내리는 데 도움을 줍니다. 인시던트 조사는 네트워크에 발생하는 인시던트에 대한 외부 위협 인텔리전스를 매핑하는 기능을 통해 가속화되어 이전에 탐지되지 않은 악의적인 활동을 찾아낼 수 있습니다. 자동화된 워크플로를 통해 관련 위협 인텔리전스를 적용 지점에 확장 가능한 방식으로 실시간 배포할 수 있습니다.
- 워크플로 및 플레이북 기능: 플랫폼에 워크플로 기능(시각적 작업 기반 프로세스)이 있는가? 플랫폼이 각 인시던트에 대해 플레이북의 실시간 실행을 보여주는가? 플랫폼이 플레이북 중첩을 지원하는가? 플랫폼이 사용자 지정 플레이북 작업 생성(자동 및 수동 모두)을 지원하는가? 플랫폼이 플레이북 전체에 대한 사용자 지정 작업 전환을 지원하는가?
- 구축 유연성: 조직에서 비즈니스를 수행하고 데이터를 보호하는 데 사용하는 기술은 끊임없이 진화하고 변화하는 상태입니다. 이러한 모든 변화 요소로 인해 보안 오케스트레이션 도구를 선택할 때에는 민첩성과 확장성이 필수적입니다. 보안 오케스트레이션 도구는 사용 가능한 구축 옵션의 유연성과 해당 옵션이 조직 내 다른 도구 및 요구 사항과 어떻게 부합하는지에 크게 좌우됩니다.
플랫폼에 있는 유연한 구축 옵션의 종류는 무엇인가? 플랫폼은 멀티테넌시를 위해 설계되었으며, 조직 네트워크 간 통신을 위해 네트워크 세분화를 지원하는 데 필요한 보안을 갖추고 있는가? 플랫폼은 여러 테넌트 전반에 대한 수평적 확장성이 있으며 고가용성 수준을 보장하는가?
- 가격: 보안 오케스트레이션 도구를 선택하기 전에 조직의 전체적인 예산 프로세스에 어떤 가격 책정 방법이 잘 맞을 것인지 고려해야 합니다. 오늘날 시장에서의 적절한 가격 책정 방법은 다음과 같습니다.
- 작업 또는 자동화별 가격 책정
- 노드 또는 엔드포인트별 가격 책정
- 추가 관리 사용자를 위한 애드온 가격이 포함된 연간 구독
- 추가 서비스 및 기능: 핵심적인 SOAR 기능 외에 조직이 이점을 얻을 수 있도록 기업이 제공하는 차별화된 다른 리소스는 무엇인가?
- 전문 서비스: 기업이 고객에게 전문 서비스를 제공하며 시작부터 끝까지 성공적인 구축을 보장하는가?
- 판매 후 지원: 설치 후 기업이 어떤 종류의 지원을 제공하는가? 사용자와 기업이 필요로 하는 지원 유형을 기업이 제공하는가?
모든 보안 운영을 위한 최고의 SOAR 솔루션을 찾으려면 공급업체의 서비스와 SOC 조직의 요구 사항을 조정하여 효율성과 효과를 높여야 합니다. 적절한 SOAR 솔루션은 이미 구축된 제품, 플레이북 및 프로세스를 보완하고 호환되어야 하며, 협업을 최적화하고, 구축 및 호스팅 기능 모두에서 유연성을 제공하며, 조직의 요구에 맞는 가격 책정 모델을 갖추고 있어야 합니다.