[보안][보안플랫폼] SOAR, SIEM, XDR 개념과 특징

SOAR (Security Orchestration, Automation and Response)

SOAR 란?

• 보안 오케스트레이션, 자동화 및 대응을 통해 보안 팀은 사이버 공격 및 사고에 대한 조직의 대응을 표준화하고 간소화할 수 있다.
• 보안운영센터(soc) 내부 및 외부의 워크플로우를 최적화하여 분석가들이 조직의 에코시스템 보안에 집중할 수 있도록 지원한다.
• 오케스트레이션, 자동화, 콘솔 기능 등 대부분의 표준 SIEM에 부족한 보안 중심 기능을 추가하기 위해 탄생했다.

Orchestration (오케스트레이션)

• 다양한 보안 도구와 시스템 (예: SIEM, 방화벽, 이메일 보안 솔루션 등)을 통합하여, 이들이 서로 적보를 주고받고 협업할 수 있도록 한다.
• 작업을 중앙 집중화하고 전파할 수 있도록 서로 다른 보안 도구를 상호 연결하는 수단이다. 이를 통해 보안 팀은 프로세스를 간소화하고 사고 대응 프로세스를 가속화할 수 있다.

Automation (자동화)

• 반복적인 작업(예: 로그 수집, 티켓 생성, 알림 발송 등)을 자동화하여 사람의 개입을 줄이고 빠른 대응을 가능하게 한다.

Response (대응)

• 보안 이벤트 발생 시, 미리 정의된 플레이북(대응절차)에 따라 자동으로 조치를 취하거나 분석가에게 대응 방안을 제안한다.

Playbook 이란?

• 모든 사건 또는 위협에 성공적으로 대응하는 데 필요한 단계와 조치의 목록
• Playbook은 다른 Playbook을 호출하거나, 직렬/병렬 작동할 수 있고, 상황과 조건에 따라 워크플로우를 시작할 수 있음
• Playbook은 공격 유형에 따른 대응 방안을 표준화한 일종의 매뉴얼로, 실시간으로 탐지되는 공격을 정확하게 분류하고 적절한 대응이 이뤄지도록 자동화하는 과정이 필요하다.
• Playbook을 만들고 정의하는 것에 따라 soar 운영 효율성의 기준이 달라진다.

SIEM (Security Information and Event Management)

• 내부 보안 도구에서 정보를 수집하여 중앙 로그에 집계하고 이상 징후를 표시한다.
• 주로 대량의 보안 이벤트 데이터를 기록하고 관리하는 데 사용된다.
• 규정 준수 보고 도구로 처음 등장했다.
• SOC는 SIEM 데이터가 사이버 보안 운영에 정보를 제공할 수 있다는 사실을 깨닫고 SIEM을 채택했다.

XDR (eXtended Detection and Response)

• EDR의 진화형으로 EDR이 여러 엔드포인트에서 활동 정보를 수집하고 상호 연관시키는 반면에 XDR은 엔드포인트 이상으로 탐지 범위를 확장하여 엔드포인트, 네트워크, 서버, 클라우드 워크로드, SIEM 등에 관련된 탐지, 분석 및 대응을 제공한다.
• 엔드포인트, 네트워크 및 클라우드에서 보안 데이터를 수집하고 분석한다.
• soar와 마찬가지로 보안 인시던트에 자동으로 대응할 수 있다.
• soar보다 더 복잡하고 포괄적인 인시던트 대응 자동화가 가능하다.
• 보안 통합을 단순화할 수 있으므로 soar 통합보다 전문 지식이나 비용이 덜 드는 경우가 많다.
• 일부 xdr은 사전 통합된 단일 공급업체 솔루션인 반면, 다른 xdr은 여러 공급업체의 보안 도구를 연결할 수 있다.
• 실시간 위협 탐지, 인시던트 분류, 자동화된 위협 헌팅에 자주 사용된다.

 

SOAR, SIEM, XDR 비교

chargpt에게 물어본 결과는 다음과 같다.

용어

• SOC(security operation centor)
  • 보안운영센터는 모든 사이버 보안 기술 및 운영을 통합하고 조정하여 조직의 위협 탐지, 대응 및 예방 역량을 개선한다.
  • 조직의 보안 태세를 모니터링하고 관리할 책임을 담당하는 중앙 유닛을 말한다.
• 인시던트(incident)
  • IT 서비스의 정상적인 기능을 방해하거나 서비스 중단을 야기하는 예기치 않은 사건 또는 문제를 의미한다.