Microsoft Graph Security Hackathon에서 스윔레인 준우승

스윔레인에 입사한 지 몇 주 만에 우리 CEO는 코디 코넬나는 언급했다 마이크로소프트 그래프 보안 해커톤마이크로소프트 그래프 보안 팀과 DevPost가 주최한 행사였습니다. 팀을 구성하고 많은 노력을 기울인 끝에 어제 발표를 받았습니다. 저희 출품작이 준우승을 차지했습니다.!

저희는 곧 개발을 시작할 예정이었던 만큼, 이 특별한 행사에 참여하게 되어 매우 기뻤습니다. Microsoft Graph Security API 이번 번들 행사를 통해 스윔레인의 강력한 기능을 선보일 수 있는 절호의 기회가 될 것입니다.

저희의 마이크로소프트 그래프 보안 해커톤 참가작입니다.

동료 엔지니어들과 브레인스토밍을 거친 결과, 마이크로소프트 그래프 보안 API에서 제공하는 풍부한 데이터만 활용하는 데 그치지 않고, 그래프 보안 경고에 대한 추가적인 맥락 정보를 제공하여 다른 내부 팀들이 각자 담당하는 조직 영역을 보호하는 데 활용할 수 있도록 하기로 결정했습니다.

"Microsoft Graph Security - 보안 경고 강화"라는 제목의 이 글에서는 Microsoft Graph Security API 경고를 활용하는 방법을 설명합니다. Swimlane은 이러한 경고를 매일(설정 가능) 수집합니다. 각 경고가 수집되면 JSON 응답의 모든 값에서 여러 정규 표현식 패턴과 일치하는 IP 주소, 해시 또는 URL을 찾습니다. 식별된 데이터가 발견되면 Graph Security 경고에 대한 세부 정보가 포함된 별도의 애플리케이션 레코드를 생성합니다.

저희가 추출한 결과를 담고 있는 새로운 애플리케이션 내에서, 다섯 가지의 서로 다른 보강 소스를 사용하여 추가 분석을 수행합니다. 이번 해커톤에서는 다섯 가지로 제한했지만, 여러분은 원하는 만큼 보강 소스를 사용할 수 있습니다.

여기에 제시된 자료는 세 가지 보충 자료와 각각의 결과를 보여줍니다. 우리는 기존 자료를 활용했습니다. 바이러스 총계, 하이브리드 분석 그리고 위협마이너. 이러한 추가 정보 소스는 개별 위협 점수와 함께 내부 위협 인텔리전스 피드를 생성할 때 사용할 수 있는 추가 컨텍스트를 제공합니다.

개별 기록에 대한 모든 통합 작업이 완료되면 사전 정의된 형식에 따라 위협 피드가 자동으로 생성됩니다. 그런 다음 당사는 이를 활용합니다. 깃허브 식별된 정보를 자동으로 내부 GitHub 저장소에 추가하여 다른 팀에서 위협 탐지 활동에 활용하거나 조직 내 다른 서비스에 통합할 수 있도록 하는 번들 기능입니다. 활용 가능성은 무궁무진합니다.

이 기록에는 많은 정보가 포함되어 있으므로 GitHub의 내장 기능인 "GitHub Pages"를 사용하여 파일에 추가되는 데이터를 더 잘 시각화했습니다.

저희는 제출물을 통해 보안 오케스트레이션 및 자동화의 강력한 기능을 보여주고 싶었지만, 가장 중요한 요소인 대응 또한 빼놓고 싶지 않았습니다!

저희가 제출한 대응 방안에는 식별된 위협이 설정 가능한 임계값을 초과할 경우 자동으로 Palo Alto Panorama 방화벽의 차단 목록에 방화벽 규칙을 추가하는 기능이 포함되어 있습니다.

Palo Alto Panorama를 보유하고 있지 않더라도 저희가 제출한 솔루션(및 Swimlane)은 완벽하게 맞춤 설정이 가능합니다. 즉, 원하는 만큼의 어플라이언스, 엔드포인트 보호 애플리케이션, 프록시 등에 해당 차단 기능을 추가할 수 있습니다.

저희 출품작이 올해 대회에서 준우승으로 선정되어 매우 기쁩니다. Swimlane은 SOAR의 잠재력을 보여줄 수 있는 향후 해커톤 행사에 참여하기를 기대합니다.