안녕하세요 !
이번 글에서는 SIEM 그리고 SOAR 솔루션에 대해서 글을 써보려고 합니다.
SOAR(Security Orchestration, Automation, and Response) 솔루션과 SIEM(Security Information and Event Management) 솔루션은 보안 운영을 강화하고 효율적으로 관리하기 위한 두 가지 주요 도구입니다. 둘 다 보안 이벤트를 처리하는 데 중요한 역할을 하지만, 그 목적과 기능은 다릅니다. 각각의 솔루션에 대해 설명드리겠습니다.
SIEM 은 보안 정보 및 이벤트 관리 솔루션으로 주로 로그 데이터를 수집하고 이것을 분석해서 보안 위협을 탐지하는데 초점을 맞춥니다.
1. SIEM 솔루션
SIEM은 보안 정보 및 이벤트 관리 솔루션으로 주로 로그 데이터를 수집하고 이것을 분석해서 보안 위협을 탐지하는데 초점을 맞춥니다.
1) 기능
- 다양한 소스 ( 방화벽, IDS / IPS, 네트워크 장비, 애플리케이션 ) 에서 보안 이벤트와 로그를 수집합니다.
- 수집된 데이터를 실시간으로 분석하고 잠재적인 위협을 식별하여서 경고 ( Alert ) 를 생성합니다.
- 로그 상관 분석을 통해서 서로 다른 이벤트 간의 연관성을 파악해서 복합적인 공격을 탐지할 수 있습니다.
- 규정 준수 보고서를 제공하여서 다양한 보안 규정 준수 작업을 지원합니다.
2) 목적
- 대량의 보안 로그 데이터를 한 곳에서 관리하고 이것을 실시간으로 분석하여서 잠재적인 보안 위협을 빠르게 탐지하고 대응하는 것 입니다.
3) 대표적인 솔루션
Splunk, IBM QRadar, ArcSight, LogRhythm 이 있습니다.
2) SOAR 솔루션
SOAR 은 보안 오케스트레이션, 자동화, 대응을 목적으로 하는 솔루션으로 SIEM 솔루션과의 연동을 통해서 더욱 자동화된 보안 대응 프로세스를 제공합니다.
1) 기능
보안 운영 프로세스의 자동화를 중점으로 하여서 반복적인 작업이나 경고에 대해 미리 정의된 대응 절차를 실행합니다.
- 오케스트레이션 : SIEM 에서 생성된 경고를 통합하고 자동으로 분류하고 필요한 경우 수동으로 조치를 취할 수 있는 워크플로우를 제공합니다.
- 자동화된 대응 : 예를 들어서 특정 이벤트가 탐지가 되면 IP 차단, 파일 격리, 사용자 계정 잠금 등의 조치를 자동으로 수행합니다.
- 케이스 관리 : 보안 사고 대응 프로세스를 추적하고 각 사건에 대해서 조사 및 대응을 문서화 합니다.
2) 목적
- 보안 경고가 발생했을 때 빠르고 일관된 대응을 자동화함으로써 보안 팀의 효율성을 높이고 인적 자원의 부담을 줄이는 것.
3) 대표적인 솔루션
Palo Alto Cortex XSOAR, Splunk Phantom, IBM Resilient, Demisto
3. SIEM 과 SOAR 의 차이점
1) 주요 역할
- SIEM 은 위협 탐지와 로그 관리에 초점을 맞추고 있다. 다양한 소스로부터 데이터를 수집하고 이것을 분석하여서 위협을 탐지하는데 중점을 둡니다.
- SOAR 는 위협에 대한 대응에 중점을 둡니다. SIEM 에서 발생한 경고에 대해서 자동화된 조치를 취하고 보안 프로세스의 효율성을 높이는 역할을 한다.
2) 주요 기능
- SIEM 은 데이터 수집 및 분석에 강점을 가지고 있습니다. 로그 기반의 이벤트 상관 분석을 통해서 위협을 탐지합니다.
- SOAR 는 자동화된 대응과 보안 워크플로우에 중점을 두고 있습니다. 보안 사고에 대해서 더 빠르고 일관되게 대응할 수 있게 합니다.
3) 결합 사용
일반적으로 SIEM과 SOAR 은 함께 사용된다. SIEM 이 탐지한 보안 위협에 대해서 SOAR 이 자동화된 대응을 수행함으로써 보안 운영의 효율성을 극대화 할 수 있습니다.
결론적으로 두 솔루션은 각각의 강점을 살려서 조직의 보안 운영을 보다 효과적으로 만들어줍니다. SIEM은 탐지와 모니터링의 중추적인 역할을 하고, SOAR는 그 탐지 결과를 기반으로 자동화된 대응을 제공합니다.
끝