Swimlane을 사용하여 엔드포인트 감지 및 응답을 수행합니다.

엔드포인트 탐지는 현대 기업 보안 체계에서 중요한 부분입니다. 암호화된 트래픽이 네트워크를 지배하고 시장 점유율을 지속적으로 확대함에 따라 네트워크 기반 침입 탐지 및 바이너리 식별은 점점 더 어려워지고 있습니다.

수동 EDR

엔드포인트 탐지 및 대응(EDR) 플랫폼은 엔드포인트 활동 및 바이너리에 대한 유용한 가시성을 제공하지만, 보안 운영 센터(SOC)에 자체적인 분석 프로세스, 워크플로 및 보고 방식의 변화를 가져옵니다. 또한, 기존 네트워크 트래픽 분석 교육을 받은 분석가들은 EDR 관련 연구 및 분석 기법에 익숙하지 않을 수 있습니다.

일반적인 수동 분석가의 EDR 워크플로는 다음과 같습니다.

차트에서 볼 수 있듯이 워크플로의 대부분은 직접적인 수동 개입을 필요로 합니다. 조사, 검토, 최종 결정, 보고 및 복구팀 참여는 대부분의 경우 SOC 분석가가 담당하고, 이후 복구 작업(예: 워크스테이션 복원 또는 방화벽 블랙리스트에 IP 주소 추가)은 다른 팀에서 수행합니다. 이러한 프로세스에는 자동화할 여지가 상당히 많습니다.

자동화 지원 EDR

Swimlane과 같은 자동화 플랫폼을 사용하면 조사 및 보고와 같은 시간이 많이 소요되는 단계를 포함하여 EDR 워크플로의 훨씬 더 많은 부분을 자동화할 수 있습니다.

Swimlane을 사용하는 EDR 워크플로는 다음과 같을 수 있습니다.

차트에서 볼 수 있듯이, 남은 수동 작업은 이벤트가 복구 조치가 필요할 만큼 심각한지 여부를 판단하는 것뿐입니다. 초기 경고 및 보강 정보는 스윔레인(Swimlane)으로 전달되어 추가 조사 및 분석을 수행한 후, 분석가에게 모든 관련 정보(위협 점수, VirusTotal 순위, WHOIS 조회 등)를 한 화면에 표시하여 복구 조치가 필요한지 여부를 신속하게 판단할 수 있도록 합니다.

복구 조치가 필요한 경우 분석가는 Swimlane 내에서 EDR 플랫폼의 시스템 롤백 기능, 방화벽/게이트웨이 블랙리스트 등록 등을 통해 자동화된 복구 조치를 수행할 수 있을 뿐 아니라, 경고 세부 정보, 조사 결과, 최종 결정 및 복구 결과를 포함하는 자동 보고서를 생성할 수 있습니다.

이러한 점에서 EDR은 스윔레인을 통한 자동화에 매우 적합하며, 분석가는 효율성을 극대화하고, 힘든 수동 조사를 최소화하며, 낮은 수준의 문제 해결을 위해 바쁜 네트워크 또는 시스템 팀을 동원하는 것을 피할 수 있습니다. 여러 팀이 참여하는 몇 시간씩 걸리던 프로세스를 단 몇 분으로 단축할 수 있습니다. 아래를 참조하십시오.