정보보안 관제 자동화 솔루션이란? (SOAR)

 

보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션

 

SOAR

• 단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.
• SOAR 솔루션은 탐지 이벤트를 입력 받아서, 보안 분석가가 수동으로 조사/분석, 대응/조치했던 업무들을 자동으로 처리해주는 시스템 (스스로 위협을 탐지하는 보안 시스템은 아니다.)

 

SOAR 솔루션과 SIEM(Security Information & Event Management) 솔루션의 구분

• 둘 다 보안 문제를 탐지하고 데이터를 수집하고, 보안 담당자가 문제를 해결하는 데 사용할 수 있는 알림을 처리
• 차이점
  • SIEM 솔루션은 각종 이벤트를 수집하고 탐지 룰을 기반으로 위협을 탐지하는 시스템
  • SOAR는 탐지한 이벤트를 입력 받아 조사 분석하고 대응 업무까지 자동으로 처리하는 자동화 시스템

 

---

 

한 번 더 정리하자면,

SIEM은 이벤트를 탐지하고 SOAR는 탐지 이후에 이벤트를 자동으로 분석 대응한다.

SIEM의 주 업무는 수집과 탐지이고 SOAR는 분석과 대응이다.

 

SOAR 솔루션은 탐지 시스템이 아니다.

SIEM 솔루션에서 탐지한 경보 이벤트를 입력 받아서 > 사람이 수동으로 처리했던 업무들을 > 자동화하는 대응 시스템이다.

따라서 가장 기본인 SIEM 솔루션 및 여러 보안 시스템과 연계해야 한다.

SOAR 솔루션은 앱 형태로 연동 모듈을 제공하거나 사용자가 연동 모듈을 쉽게 구현할 수 있다.

 

Splunk 앱스토어에서도 많은 연동 모듈이 구현되어 있고 사용자는 다운로드해서 추가하면 된다.