데이터 스키마와 SOC의 로제타 스톤

자동화: 기술 전문가들은 자동화 덕분에 점점 부족해지는 시간을 절약할 수 있어서 좋아하고, 리더들은 자동화를 통해 업무 효율을 높일 수 있어서 좋아합니다. 투자수익률(ROI) 기술과 인적 자원 모두에서 그렇습니다. 그렇다면 왜 우리는 모든 것을 자동화하지 않는 걸까요? 왜냐하면 보안 자동화 우리가 다뤄야 하는 데이터의 양과 다양한 스키마 때문에 여전히 어려움이 있을 수 있습니다. 간단히 말해, 데이터 스키마는 데이터를 구성하고, 연관시키고, 담는 방식입니다. 데이터 스키마는 기술이 사용하는 언어라고 생각할 수 있습니다. 인간이 여러 언어를 구사하듯이 기술도 마찬가지입니다. 하지만 왜 그럴까요? 그리고 어떻게 해결할 수 있을까요? 스윔레인 터빈 이러한 데이터 문제를 해결하시겠습니까?

보안 작전의 역사를 간략하게 되짚어 보겠습니다.보안 운영).

로그: 이 영화는 전에 본 적이 있어요

처럼 보안 운영 센터(SOC) 실무자, 우리의 최우선 과제 중 하나는 항상 가시성 확보였고, 이는 모든 로그를 수집하는 것을 의미했습니다. 하지만 로그를 원하는 곳으로 전송하는 데 도움이 되는 표준적이고 검증되고 문서화된 프로토콜(syslog)은 있었지만, 표준 로그 형식은 없었습니다. 보안 관련 애플리케이션이든 아니든, 모든 애플리케이션 개발자는 원하는 형식으로 로그를 저장할 수 있었고, 단지 syslog 프로토콜을 통해 전송하기만 하면 되었는데, 실제로 대부분의 개발자는 그렇게 했습니다.

그래서 소스에서 집계 장치로 로그를 가져오는 것은, 그것이 syslog 수집기였든 나중에 나온 것이든 간에, SIEM 시스템 자체는 간단했습니다. 하지만 일단 시스템을 구축하고 나면, 관련 데이터를 의미 있는 필드에 자동으로 넣어주는 내장 로그 파싱 로직에 의존하거나, 아니면 직접 파서를 작성해야 했습니다. 그렇지 않으면 데이터를 제대로 이해할 수 없었고, 결국 데이터는 다루기 힘들고 거의 쓸모가 없게 되었습니다.

SOAR: 세상이 아무리 변해도…

우리는 오늘날에도 여전히 이러한 도전에 직면하고 있습니다. SOAR 플랫폼, 같은 종류의 데이터를 가지고 같은 작업을 수행하지만, 목적이 향상되고 확장되었기 때문입니다. 과거에는 단순히 로그와 같은 "정형화된 데이터"를 추출하고 정리하는 것이 목표였습니다. 하지만 오늘날에는 정형화된 데이터를 추출하고 읽는 것뿐만 아니라, 다양한 경로를 통해 생성되는 점점 더 많은 양의 반정형 데이터까지 처리해야 하므로 문제가 더욱 복잡해졌습니다. REST API, 또한 웹훅을 통해서도 데이터를 수집하고 있습니다. 아래에서 AI 기반 보안 자동화 플랫폼이 기존 SOAR(해킹 정보 수집 및 분석) 문제를 해결하는 데 어떻게 도움이 되는지 몇 가지 예를 확인해 보세요. SOC 챌린지. 

신호 처리하기…

자동화에는 추가적인 작업을 트리거하는 일종의 "신호"가 필요합니다. 보안 운영(SecOps)에서 신호는 일반적으로 엔드포인트 탐지 시스템, SIEM 시스템, 차세대 방화벽 등에서 발생하는 경고와 같은 다양한 유형의 경고를 의미합니다. 클라우드 보안 시스템. 하지만 신호는 취약점 발견과 같은 다른 형태로 나타날 수도 있습니다., 공격면 이벤트, OT 대응 알림, 또는 ID 프로비저닝을 위한 새 사용자 요청이나 애플리케이션 스캔이 필요한 새 빌드 요청과 같은 프로세스 지향적인 이벤트까지 포함합니다.

이러한 신호들의 문제점은 기존 로그와 마찬가지로, 서로 다른 요구사항을 가진 여러 개발자들이 작성했고 특정 표준이나 프레임워크가 없다는 점입니다. 결과적으로, 보안 운영 팀 자동화를 시도할 때 흔히 직면하는 문제점은 바로 이것입니다. 방금 받은 이 방대한 데이터에서 무엇이 중요한가?

…그리고 액션을 겹겹이 쌓아 올리기

게다가 우리는 종종 데이터와 심지어 행동까지도 다른 그룹으로 되돌려 보냅니다. REST API 웹훅도 마찬가지입니다. 로그를 위한 syslog처럼, 모든 시스템은 기본 전송 메커니즘으로 JSON-over-HTTP를 표준화하지만, 각 시스템은 고유한 엔드포인트, 필드 및 데이터 형식 요구 사항을 유지합니다. 즉, 이제 소스 도구에서 들어오는 데이터를 파싱할 뿐만 아니라, 나가는 데이터도 올바르게 파싱하고 형식을 지정해야 합니다. 그래야 프로세스와 워크플로의 핵심적인 부분인 다른 도구들을 효과적이고 효율적으로 활용할 수 있습니다. 수신 도구가 우리가 보내는 데이터를 이해하지 못하면 오류가 발생하거나 더 심각한 문제가 발생할 수 있습니다. 바로 "쓰레기를 넣으면 쓰레기가 나온다"는 것입니다.

터빈은 어떻게 도움이 될 수 있을까요?

그렇다면 그 안에서 무엇을 찾을 수 있을까요? 스윔레인 터빈 이는 개발자와 기획자가 이러한 끊임없는 데이터 형식 문제를 보다 빠르고 쉽게 극복하는 데 도움이 되는 것입니까?

공급업체별 구성 요소

구성 요소 내부에서 주요 업그레이드를 나타냅니다. 터빈 캔버스, 로우코드 플레이북 구축 스튜디오인 스윔레인은 특히 데이터 수집과 관련하여 점점 더 중요한 역할을 수행하고 있습니다. 스윔레인은 항상 고객이 사용하는 모든 도구에 필요한 커넥터와 통합 기능을 제공하는 데 집중해 왔습니다. 이제 벤더별 구성 요소를 통해 이러한 노력을 한 단계 더 발전시키고자 합니다.

이러한 벤더 구성 요소를 강력한 커넥터라고 생각하십시오. 이러한 구성 요소는 시스템과 상호 작용하기 위한 커넥터 및 내장 액션을 제공할 뿐만 아니라, 백엔드 비즈니스 로직을 적용하여 데이터를 자동으로 추출, 변환, 형식 지정 및 매핑하는 플레이북 세트도 포함합니다. 이를 통해 Turbine 어디에서든 데이터를 빠르고 쉽게 사용할 수 있습니다. 따라서 대부분의 일반적인 보안 애플리케이션 및 플랫폼의 경우 데이터 수집 및 통합을 몇 시간 또는 며칠이 아닌 몇 분 만에 완료할 수 있습니다. 

간단한 네이티브 액션을 이용한 데이터 조작

Swimlane Turbine의 네이티브 액션은 데이터 처리에 있어 혁신적인 기능을 제공해 왔으며, 이러한 전통을 데이터 조작 네이티브 액션에도 그대로 적용했습니다. Turbine의 주요 변환 기능은 JSONata를 기반으로 구축되었는데, JSONata는 다소 복잡할 수 있지만, GUI를 통해 익숙하지 않은 사용자도 확장된 JSONata 변환을 빠르고 쉽게 구축할 수 있도록 지원합니다.

히어로 AI 스키마 추론

스윔레인 히어로 AI 터빈 보안 자동화 플랫폼 내에서 사용할 수 있는 AI 기반 혁신 기능 모음입니다. 스키마 추론은 스윔레인이 인공지능을 적용하여 AI 기반 보안 자동화를 애플리케이션 내에서 진정한 시너지 효과를 내는 도구로 활용할 수 있도록 한 최초의 기능 중 하나입니다. 예를 들어, 액션에서 새로운 데이터가 입력되었지만 사용 가능한 구성 요소가 없어서 JSON 형식의 원시 데이터 덩어리로 들어오는 경우를 생각해 보세요.

Hero AI 스키마 추론 기능은 Turbine에서 사용하는 필드와 필드 유형을 파악한 후, 입력되는 JSON 데이터를 읽어 관련 입력 필드를 이미 사용하고 있는 스키마 필드에 자동으로 매핑하는 옵션을 제안합니다. 더욱 놀라운 점은, 사용자가 직접 도움을 요청할 필요 없이 이 모든 작업을 자동으로 수행한다는 것입니다.

Hero AI 텍스트-코드 변환 챗봇

챗봇은 AI의 강력한 기능을 일상 업무에 빠르고 쉽게 통합할 수 있는 검증된 솔루션입니다. 특히 복잡한 사용자 요구 사항을 간소화하는 데 매우 유용합니다. 스키마 매핑은 기본이지만, 개발자는 프로세스에서 처리하는 데이터에 대해 더욱 고급 작업을 수행해야 하는 경우가 많습니다. 이를 위해 Turbine에서는 Hero AI의 텍스트-코드 변환 챗봇을 활용하여 사용자가 특정 데이터 변환 및 형식 요구 사항을 파이썬 코드로 변환하여 요청할 수 있도록 지원합니다.

예를 들어, 사용자는 Hero AI 챗봇에게 "입력에서 'src_addr', 'dst_addr', 'application', 'ts' 필드를 추출하고, 'ts' 필드의 내용을 ISO 8601 형식으로 변환하고, 'src_addr'와 'dst_addr' 필드가 RFC 1918 주소가 아닌지 확인하는 Python 변환 코드를 작성해 주세요."라고 요청할 수 있습니다. 그러면 챗봇은 사용자가 필요에 따라 적용할 수 있는 관련 Python 코드를 응답으로 제공합니다.

보안 운영의 현상 유지에 절대 만족하지 마십시오.  

당신은 당신의 것이 필요합니다 보안 자동화 Turbine 플랫폼은 필요한 만큼 유연하면서도 최대한 단순해야 합니다. 이러한 균형은 더 많은 직원이 플랫폼을 활용할 수 있도록 하는 데 중요합니다. 또한, 유연하고 다양한 데이터 세트를 간편하고 관리하기 쉬운 방식으로 처리해야 합니다. 위에 설명된 기능과 특징들을 통해 Turbine은 SecOps의 로제타 스톤 역할을 하여 고객이 유연성과 단순함의 완벽한 균형을 이룰 수 있도록 지원합니다. Turbine의 로우코드 패러다임에 대한 당사의 헌신은 이를 증명합니다. 저희 플랫폼은 결코 "충분히 좋은" 수준에 머무르지 않습니다.