보안 자동화 워크플로 다이어그램 배경 위에 스윔레인 및 McAfee 로고가 있습니다.

McAfee 제품군과 Swimlane을 활용하여 사고 대응을 자동화합니다.

사용자 아바타
케이티 바이코프스키
3 1분 읽기

 

McAfee는 여러 주요 기업에서 보안 운영 및 사고 대응 플랫폼으로 활용하는 강력한 사이버 보안 제품군을 보유하고 있습니다. SIEM부터 엔드포인트 보호에 이르기까지 McAfee는 사고 대응의 거의 모든 단계에 대한 솔루션을 제공합니다. Swimlane은 이러한 핵심 도구 및 제품 대부분과 통합되어 분석가가 조사 과정에서 수동으로 수행하는 대부분의 프로세스를 자동화할 수 있도록 지원합니다.

Swimlane 팀은 다음과 같은 McAfee 제품과의 통합 기능을 개발했습니다.

  • 맥아피 ESM (SIEM):
    • 확인되지 않은 경보를 수집합니다.
    • 상관관계 규칙을 트리거하는 기본 이벤트를 검색합니다.
  • 맥아피 ePO (EDR):
    • 특정 호스트 또는 호스트 집합에 태그를 적용합니다.
    • 특정 호스트 또는 호스트 집합에서 태그를 제거합니다.
    • 호스트에서 관련된 모든 위협 이벤트를 가져옵니다.
    • ePO에서 관리하는 호스트에 대한 모든 관련 호스트 정보를 가져옵니다.
  • McAfee OpenDXL:
    • MD5 해시 조회
    • MD5 해시값을 평판 점수와 함께 TIE 데이터베이스에 푸시합니다.
    • DXL 패브릭에 이벤트를 푸시하세요
  • 맥아피 ATD:
    • 샌드박스 분석을 위해 파일을 제출하세요.
    • 완료된 스캔에서 결과를 가져옵니다.
  • McAfee 웹 게이트웨이:
    • URL 블랙리스트/화이트리스트
    • 블랙리스트/화이트리스트 도메인

Swimlane은 McAfee 도구를 사용하여 어떻게 알람을 구성하고 자동화합니까?

이러한 도구를 활용하면 Swimlane은 ESM에서 경보를 발생시키고, 개발된 McAfee 통합 기능을 사용하여 해당 사건에 대응하고 복구할 수 있습니다. 실제 사용 사례를 예로 들면, 직원이 McAfee ESM에서 이전에 위험 요소로 표시된 웹사이트에 접속한 경우를 생각해 볼 수 있습니다. 경보가 발생하면 Swimlane의 McAfee ESM 통합 기능은 경보를 수집하고 동시에 경보 상태를 확인합니다. 경보 세부 정보에는 호스트 IP, 호스트 이름, 사용자가 접속한 URL 및 사건과 관련된 기타 정보가 포함됩니다. Swimlane은 사용자의 컴퓨터 호스트 이름을 사용하여 McAfee ePO에 자동으로 태그를 적용하고, 해당 호스트에 대한 바이러스 검사를 시작합니다. 검사가 완료되면 Swimlane은 ePO 위협 이벤트 통합 기능을 사용하여 검사에서 얻은 모든 세부 정보를 가져와 현재 조사에 추가합니다. 이 예시에서는 사용자가 실수로 악성 바이너리를 다운로드했고, 해당 바이너리의 경로가 위협 이벤트에 포함되었습니다.

이 단계에서 디지털 포렌식 팀은 사용자의 컴퓨터에서 해당 바이너리 파일을 추출하여 현재 조사 중인 사건에 첨부합니다. 파일이 첨부되면 Swimlane은 McAfee ATD에 파일을 제출하여 샌드박스 분석을 수행하고 바이너리 파일의 해시 값을 계산합니다. 이 스캔 결과는 해당 바이너리 파일이 악성 침해 지표(IOC)로 간주되는 다른 두 도메인에 연결되어 있음을 보여줍니다.

이러한 IOC의 심각성으로 인해 Swimlane은 자동으로 복구 플레이북을 실행합니다. 이 사용 사례에 대해 정의된 복구 단계에는 Swimlane이 McAfee ePO에 태그를 자동으로 적용하여 해당 컴퓨터를 네트워크에서 제거하는 작업이 포함됩니다. 이렇게 하면 디지털 포렌식 팀이 복구 단계를 완료할 수 있습니다. 다음으로, Swimlane은 McAfee ATD용으로 개발된 통합 기능을 사용하여 MD5 해시 값을 높은 평판 점수와 함께 TIE 데이터베이스에 푸시합니다. 마지막으로, McAfee 웹 게이트웨이 통합 기능을 사용하여 해당 IOC를 프록시의 블랙리스트에 등록합니다.

워크플로 - 알림 자동 해결스윔레인이 어떻게 도움을 줄 수 있을까요?

이러한 유형의 이벤트는 하루에도 여러 번 발생할 수 있으며, 분석가가 조사하는 데 30분에서 60분이 소요될 수 있습니다. Swimlane은 복잡한 플레이북을 자동화하고 오케스트레이션하는 기능을 통해 사고 해결 시간을 크게 단축할 뿐만 아니라 McAfee 제품에 대한 가치와 투자 효과를 높입니다. 이러한 통합 기능과 이를 위해 생성된 플레이북을 통해 조직은 사이버 보안 운영 절차를 개선하고 Swimlane 내에 관련 지식과 프로세스를 보존할 수 있습니다.

Swimlane이 McAfee 제품군과 어떻게 통합되는지 자세히 알아보려면 통합 비디오를 시청하세요.

태그

통합

2015년 3월 17일
보안운영센터(SOC)와 최고 경영진(C-suite)의 사이버 보안 관련 의견 일치가 중요한 이유
더 읽어보기
2017년 1월 20일
ThreatGrid의 조사 및 대응을 자동화하려면 Swimlane과의 기본 제공 통합 기능을 활용하세요.
더 읽어보기
2018년 1월 31일
NIST 사이버보안 프레임워크와 보안 자동화 및 오케스트레이션(SAO)을 활용한 사고 대응 개선
더 읽어보기

라이브 데모를 요청하세요