SOAR 플랫폼의 사례 관리 기능에 포함되어야 할 사항은 다음과 같습니다.

들으면 보안 오케스트레이션, 자동화 및 대응(SOAR), 일반적으로 사례 관리라는 단어가 가장 먼저 떠오르지는 않습니다. 하지만 사례 관리는 정교한 시스템의 핵심 구성 요소입니다. SOAR 플랫폼 그리고 바로 이곳이 보안팀의 진정한 존재감이 드러나는 곳입니다.

SOAR 플랫폼은 서로 다른 도구를 통합하고 복잡한 자동화 워크플로우를 실행합니다. 그러나 효과적인 사례 관리는 보안 분석가가 단일 사례 기록 보기를 통해 사건과 관련된 모든 데이터 및 구성 요소를 동적으로 분석하고 상호 작용할 수 있도록 함으로써 한 단계 더 나아갑니다.

사례 관리란 무엇인가요?

케이스 관리는 단일 협업 허브에서 보안 관련 경고 및 이벤트를 수집, 분석, 보강 및 대응하는 기능을 포함합니다. 위협은 위험 수준에 따라 식별 및 우선순위가 지정됩니다. 위협의 심각도에 따라 SOAR 플랫폼은 사고 대응 프로세스를 자동화하거나 SOC 분석가에게 알림을 보내 사람의 개입을 요청할 수 있습니다. 강력한 케이스 관리 기능은 과거 유사 경고와 같은 추가적인 맥락 정보도 제공합니다.

사례 관리는 모든 최신 SOAR 플랫폼의 핵심 구성 요소입니다. 효과적인 사례 관리를 위해 SOAR 플랫폼에 포함되어야 할 주요 특징은 다음과 같습니다.

사용 편의성

SOAR 플랫폼은 여러 소스의 경고 데이터를 중앙 집중화하여 신속하고 자동화된 인사이트를 제공해야 합니다. 이러한 인사이트는 이해하기 쉬운 시각적 형식으로 제시되어야 합니다. 사용 편의성은 매우 중요합니다. 

이상적인 시나리오는 개별 사례 기록에 시각화 기능을 직접 통합하고, 타사 시스템에서 가져온 보기를 포함하여 사건 해결을 용이하게 하고 분석가가 표준화된 프로세스 내에서 작업할 수 있도록 하는 것입니다.

실시간으로 제공되는 풍부한 사건 데이터

하루는 정해진 시간으로 이루어져 있습니다. 분석가들은 대부분의 시간을 수동으로 정보를 수집하는 데 허비해서는 안 됩니다. 최신 SOAR 플랫폼은 사건 데이터를 실시간으로 분석하고 보강하여 사람의 의사 결정 과정을 가속화합니다. 

이 플랫폼은 여러 소스에서 발생하는 경고를 인식하고 유사점을 분석할 수 있습니다. 단일 이벤트에서 심각한 경고가 발생할 경우, SOAR 플랫폼은 이러한 경고들을 자동으로 하나의 사례로 통합하여 팀이 중복 작업을 하거나 여러 곳에서 세부 정보를 찾는 수고를 덜어줍니다. 

이를 통해 사례 관리가 간소화되어 분석가가 더 짧은 시간에 더 많은 사례를 관리할 수 있습니다. 또한 분석가가 규정 준수 기준을 유지할 수 있도록 비즈니스 프로세스를 체계화하는 데 도움이 됩니다. 

다양한 도구에 걸친 자동 탐지 및 분석

SOAR 플랫폼은 단순히 증거 보관소 역할만 하는 것이 아니라 자동화, 오케스트레이션 및 분석가 활동을 결합한 동적인 사례 관리 기능도 제공해야 합니다. 보안 도구가 중복되는 것은 불가피할 수 있지만, 보안 팀은 단일 위협에 대한 경고가 여러 개 발생하더라도 경고에 대응하고 해결하기 위해 서로 다른 도구와 기술을 번갈아 사용할 필요가 없어야 합니다. 

분석가는 어떤 기록에서든 해당 사례에 특화된 다양한 연관 조사 조치를 즉시 실행할 수 있어야 합니다. 예를 들어, 보안 분석가는 단일 엔드포인트를 대상으로 한 공격의 세부 정보를 쉽게 확인할 수 있어야 합니다. 해당 개별 사례 기록에서 보안 정보 및 이벤트 관리(SIEM) 또는 엔드포인트 탐지 및 대응(EDR) 시스템을 사용하여 동일한 공격의 대상이 되었을 가능성이 있는 다른 장치를 검색할 수 있어야 하며, 이 모든 작업을 원래 사례 기록에서 벗어나지 않고 수행할 수 있어야 합니다.

원클릭 문제 해결

SOC 분석가들은 위협에 대응하기 위해 수많은 도구를 넘나듭니다. 특정 SOC 도구에 전문가일 수는 있지만, 모든 도구에 전문가가 되는 것은 불가능합니다. 모든 모든 보안 스택에 필수적인 도구입니다. SOAR 플랫폼의 케이스 관리 기능은 기본적인 작업을 한 곳에서 쉽게 수행할 수 있도록 설계되어야 합니다. 

원클릭 복구 기능을 통해 사용자 계정 비활성화 또는 호스트 격리와 같은 기본 조치를 실행할 수 있습니다. 분석가는 필요한 조치를 취하기 위해 모든 SOC 도구에 대한 전문가가 될 필요가 없습니다. 강력한 사례 관리 기능을 통해 위 이미지에서처럼 단일 탭에서 여러 조치를 실행할 수 있습니다. 

부서 간 소통

보안 운영 센터(SOC) 내에서 위협 사전 탐지 및 사고 대응 모두에서 커뮤니케이션은 매우 중요한 역할을 합니다. 보안 팀은 팀 내 다른 분석가 및 엔지니어에게 사건 관련 정보를 명확하고 신속하게 전달해야 합니다. 바로 이러한 이유로 최신 SOAR 플랫폼은 보안 관련 모든 정보를 위한 협업 허브 역할을 합니다. 

내부 소통을 위한 인라인 채팅 기능은 물론, 외부 이해관계자를 대화에 참여시킬 수 있는 다양한 커뮤니케이션 도구와의 통합 기능도 기대할 수 있습니다. 중요한 것은, SOAR 플랫폼 인간을 개입시켜 위협을 더 빠르고 효과적으로 차단합니다.

아래에서 이러한 사례 관리 기능이 실제로 어떻게 작동하는지 데모 영상을 확인하세요. 

그 외에도 보안 오토메이션 그리고 보안 관현악법, SOAR 플랫폼은 사례 관리를 지원하고 조사를 가속화하기 위해 관련성 높고 실시간으로 풍부한 사고 데이터를 수집해야 합니다. 또한 SOAR 솔루션의 사례 관리 기능은 완전한 상호 작용 기능을 갖추고 사고 대응 워크플로와 긴밀하게 통합되어야 합니다. 이를 통해 전체 사고 대응 프로세스가 통합되어 무수히 많은 관련 사용 사례에 대응하고 조직의 보안을 강화할 수 있는 동적인 방어 체계를 구축할 수 있습니다.