SOAR 구축 방법

SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션 구매를 고려하는 회사는 기존 사고 대응 프로젝트가 아직 자동화 및 오케스트레이션 기능을 갖춘 포괄적인 플랫폼을 구현할 만큼 성숙하지 않다는 점을 우려하는 경우가 많습니다. 기초가 거의 없는 경우 처음부터 시작하는 것이 부담스러울 수 있습니다. 특히 팀에 사고 대응이나 보안 조정 솔루션에 대한 경험이 없는 경우 더욱 그렇습니다.

비효율적인 프로세스에 단순히 자동화를 추가하고 싶은 사람은 없지만 기존 방법 자체가 더 이상 충분하지 않다면 보안 사고를 처리하는 이러한 기존 방식을 더욱 통합하는 것은 분명히 비과학적인 일입니다.

회사의 보안 운영을 개선하고 싶지만 어디서부터 시작해야 할지 모르는 경우 다음 단계는 SOAR 플랫폼으로의 마이그레이션을 준비하는 데 도움이 될 수 있습니다.

1. 현재 운영 상황을 살펴보세요

사고 대응 프로그램이 없다고 생각하는 회사에는 나름의 이유가 있습니다. SOAR 또는 사고 대응 플랫폼이 있든 없든 모든 회사는 즉흥적이고 임시적인 프로세스가 많이 필요하더라도 보안 사고를 관리할 수 있는 방법을 갖고 있습니다.

SOAR 플랫폼 구현을 준비하면서 회사 이해관계자와 대화하여 현재 프로세스와 해당 프로세스의 효율성(또는 비효과성)을 이해하는 시간을 가지세요. 여기에는 정리 도구 체크리스트가 포함되어야 합니다.

• IT 및 정보 보안을 위한 기존 인프라는 무엇입니까?

• 데이터 보강 작업을 위한 도구가 있나요?

어떤 도구를 사용할 수 있는지 파악한 후에는 이를 NIST 800-61r2 표준에 설명된 것과 같은 사고 대응 수명 주기에 매핑하고 회사에서 현재 누락된 것이 무엇인지 식별할 수 있습니다.

다음으로 회사에서 준수하는 사고 대응 프로세스나 매뉴얼을 검토하세요. 보안 운영 센터(SOC)가 내부적으로 어떻게 협업하는지 알아보세요. IT 및 데이터 개인 정보 보호 조직과 같은 다른 팀과 어떻게 협력합니까? 회사는 사고 대응 중에 법률 및 규정 준수를 어떻게 유지합니까? 회사 팀은 피싱이나 맬웨어와 같은 오늘날 흔히 발생하는 보안 사고를 어떻게 관리하고 있습니까?

사용 가능한 측정항목이 있는 경우 이를 주의 깊게 검토하여 잘 작동하는 부분과 개선해야 할 부분을 파악하세요. 예:

• 보안 경고를 감지하고 대응하는 데 시간이 얼마나 걸리나요?

• 어떤 활동이 보안 분석가의 시간을 너무 많이 차지합니까?

공식 지표가 없는 경우 보안 분석가 및 관리자에게 자체 평가를 요청하세요.

2. 귀하의 회사에 가장 적합한 기능과 이러한 기능을 제공하는 플랫폼을 찾으십시오

시장에는 선택할 수 있는 SOAR 플랫폼이 많이 있지만 선택 범위를 좁히려면 시간을 들여 확인하십시오. 어느 것이 당신에게 가장 적합한지. 먼저 어떤 프로세스를 자동화하고 싶나요? 보안팀의 가장 어려운 문제는 무엇입니까? 반복되는 보안 사고, 데이터 사일로 또는 프로세스 병목 현상이 있습니까? 분석가가 이러한 질문에 답하는 데 도움을 줄 수 있습니다.

각 플랫폼은 보안 운영에 중점을 두고 있습니다. 이러한 기능은 크게 다음 범주로 나눌 수 있습니다.

• 경고 관리: SOC가 SIEM 및 기타 소스 시스템에서 진행 중인 보안 경고 흐름을 정렬, 평가 및 종료하는 데 도움이 됩니다.

• 분류: 위협 인텔리전스, 과거 이벤트 기록 등 외부 및 내부 소스로부터 상황에 맞는 정보를 수집하여 분석가가 결정을 내릴 수 있도록 돕습니다.

• 사고 대응: 플레이북, 작업 관리, 링크 분석 및 기타 기능이 포함되어 효과적이고 반복 가능한 대응 워크플로를 지원합니다.

• 이 문장은 다음과 같이 다시 쓸 수 있습니다. "보고 및 분석 기능은 자동 또는 예약된 보고서 생성을 지원하고, 세부 SOC 측정항목을 생성하며, 다양한 시스템 사용자 역할에 맞게 사용자 정의 가능한 대시보드를 제공합니다."

• 규정 준수 및 추적: 감사 추적, 관리 연속성, 일반적인 규정 준수 보고 템플릿 등.

• 사례 관리에는 조사관이 다른 팀과 협력할 수 있는 기능, 관련 사건 사례를 저장하는 카탈로그, 조사 워크플로우 안내 및 증거 관리가 포함됩니다.

3. 플레이북 초안 작성

가장 중요한 사용 사례에 대한 전략 플레이북 작성을 시도하여 SOAR 플랫폼 사용 방법에 대한 실질적인 이해를 얻을 수 있습니다. 그런 다음 자동화 및 조정을 통해 향상될 수 있다고 생각되는 단계를 식별하세요.

공급업체나 업계 기관에서는 단계에 대한 참조를 제공해야 하는 온라인 플레이북의 예를 제공했습니다. 회사의 기존 프로세스를 평가하고 이를 회사 분석가와 논의함으로써 일반적이거나 중요한 사용 사례를 포함하여 더 가치 있는 정보를 얻을 수 있습니다. 피싱, 데이터 침해 의심, 맬웨어 감염 등 가장 일반적인 사용 사례를 보안 환경의 출발점으로 사용할 수 있습니다.

공식적인 사고 대응 프로그램이 없으면 SOAR 솔루션, 사고 대응 플랫폼 또는 기타 중요한 보안 도구를 구현하기가 어려울 것입니다. 위의 단계를 따르면 자신의 상황을 더 잘 이해하고 어떤 경로를 택해야 하며 어떤 결과를 달성해야 하는지 알 수 있습니다.

위 내용은 SOAR 구축 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!