SIEM vs SOAR : 무엇이 다르고 왜 같이 작동하는지
안녕하세요. 리암입니다.
기존에 블로그에서 SOAR가 무엇인지에 대해서 많이 설명했는데요, 그러면 SOAR랑 SIEM의 차이점은 무엇이야?라는 질문이 생기실 수도 있습니다.
그래서 준비했습니다. SIEM vs SOAR
스텔스솔루션의 SOAR 파트너인 D3 Security의 커뮤니케이션 매니저 WALKER BANERD가 작성한 내용을 토대로 쉽게 알려드릴게요
다들 잘 알고 계시겠지만 SOAR가 무엇인지 간단하게 다시 한번 설명하고 갈게요.
SOAR는 Security Orchestration, Automation and Response의 약자로 각기 다른 도구에서 생성되는 보안 사고, 이벤트, 로그 등의 내용을 통합하고 설계한 결과물을 보여주는 절차를 자동화하고, 공격을 받고 있는 자산에 대한 알림을 생성하여 보안 사고에 빠르고 정확하게 대응할 수 있도록 지원하는 플랫폼입니다.
그러면 여기서, 국내외적으로 SIEM(Security Information and Event Management)을 많이 도입하고 있는 추세인데 이름만 봐서는 비슷해 보이는 이 두 녀석의 차이점을 알려드리겠습니다.
- SOAR와 SIEM의 차이점은 무엇인가요?
- SIEM이 이미 구축되어 있는데 SOAR가 필요한 이유가 무엇입니까?
- SOAR는 SIEM 없이 작동할 수 있나요?
결론부터 말씀드리자면, SOAR와 SIEM은 기능상으로 유사한 부분은 있으나 SOAR가 제공할 수 있는 다른 가치들이 많이 있습니다.
실제로 SOAR는 SIEM과 함께 훌륭하게 작동하여 SIEM의 강력한 기능을 확장하여 경고를 효과적으로 분석, 조사 및 대응합니다. SIEM은 비정상적인 활동을 집계하고 감지하는 기능을 갖춘 훌륭한 경보 소스입니다. 주목할만한 경고의 에스컬레이션을 위한 SOAR 도구를 추가하면 SIEM을 보유한 보안 팀이 워크플로우 등에 자동화를 추가할 수 있는 기능을 제공합니다.
- SOAR와 SIEM이 같이 작동하는 방법
SOAR는 SIEM이 제공하지 못하는 부분을 완벽하게 보완하는 것으로 여겨집니다. 예를 들어, Gartner는 XDR과 같은 다른 접근 방식과 대조적으로 탐지 및 대응에 대한 일반적인 접근 방식의 예로 SOAR+SIEM 조합을 사용합니다.
SIEM 중심 SOC에 대한 대안을 제공하는 다른 많은 도구가 등장했지만 SIEM은 비정상적인 활동을 집계하고 플래그를 지정할 수 있는 기능을 갖춘 이상적인 알림의 진원지입니다. 그런 다음 이러한 경고는 SIEM 규칙에 따라 수동 또는 자동으로 통합 SOAR 플랫폼으로 에스컬레이션할 수 있습니다.
그런 다음 SOAR 플랫폼을 사용하여 알림을 분석하고, 실제 사고인지 확인하고, 다른 통합 시스템에서 필요한 대응을 조정할 수 있습니다. SOAR와 SIEM간의 고품질 통합도 양방향이므로 SOAR 플랫폼에서 SIEM에 추가 정보를 쿼리하고 사고가 해결되면 업데이트 할 수 있습니다.
2. SOAR는 있지만 SIEM에는 없는 것
그렇다면 이미 SIEM을 보유하고 있는 조직이 SOAR 도입을 고려해야 할 이유는 무엇이 있을까요? SIEM이 가진 강력한 기능에도 불구하고 SIEM에는 위협을 효율적으로 관리하는 데 필요한 사고 대응, 조사 및 사례 관리 도구와 워크플로우가 없기 때문입니다.
SOAR를 도입하면 다음과 같은 기능을 통해 전체 사고 수명 주기에 걸쳐 SecOps 기능을 확장할 수 있습니다.
- 위협 인텔리전스, IOC 상관 관계 및 기타 데이터를 통한 경보 강화
- 사건별 자동화 기반 플레이북 제작
- 수백 개의 이미 만들어진 통합(Integration)을 활용하여 보안 환경 전반에 걸쳐 조정된 조치 가능
- 포괄적인 대시보드 및 보고
3. SOAR는 독립적으로 작동할 수 있나요?
SOAR는 SIEM 없이 독립적으로 사용이 가능하며 SOAR만의 혜택을 받을 수 있습니다. SIEM은 SOAR에 통합할 수 있는 많은 경고 소스 중 하나일 뿐입니다. SIEM이 있는 조직에서도 SOAR는 EDR, 이메일 보호, 클라우드 보안 도구 등의 경고를 집계하고 수동으로 보고되는 사고들을 수신합니다. 많은 일반적인 사용 사례가 이러한 서로 다른 경고 소스에서 시작되기 때문에 SOAR는 SIEM 없이도 완벽하게 작동할 수 있습니다.
예를 들어, EDR 도구가 엔드포인트에서 잠재적인 악성 파일을 감지하면 경고를 SOAR 도구로 에스컬레이션 할 수 있습니다. SOAR 플레이북은 또한 EDR에서 추가 정보를 쿼리하고 상관된 IOC에 대한 엔드포인트 스캔과 같은 작업을 조정합니다. 이벤트가 제대로 조사되면 응답 플레이북은 영향을 받는 시스템을 격리하는 것과 같은 EDR 전반의 작업과 파일이 이메일을 통해 온 경우 이메일 보호 도구에서 보낸 사람의 도메인을 차단하는 것과 같은 기타 도구를 조정합니다.
오늘은 SIEM과 SOAR의 차이점과 왜 같이 사용해야하는지와 같은 내용을 다뤄보았습니다. D3 security의 NextGen SOAR 2.0이 궁금하신 분들은 아래의 블로그 링크로 가시면 설명을 보실 수 있습니다.
- 보안관제를 위한 머스트해브 플랫폼 D3 SOAR
