Security Orchestration, Automation and Response
국내 시장 점유율 1위의 대한민국 대표 K-SOAR, eyeCloudXOAR
eyeCloudXOAR는 확장된 SOAR(eXtended SOAR)의 개념으로서 SIEM, SOAR, UEBA 컴포넌트를
단일 플랫폼으로 통합된 AI 기반의 SOAR 플랫폼으로,
4년연속 조달시장 점유율 1위를 보유하고 있는 대한민국 대표 K-SOAR 입니다.
18년 국내 최초 보안 관리 자동화 시스템 자체 기술 개발로 출시 하였습니다.
위협 탐지부터 대응까지 보안 프로세스 전반을 자동화 하며,
다양한 보안 솔루션과의 유연한 연동을 통해 통합 관제를 제공, 직관적인 플레이북으로 보안 운영 효율을 극대화 합니다.
특히, 다양한 보안 솔루션 및 위협 인텔리전스(TI)와의 유연한 연동 및 노코드(No-Code) 기반의
직관적인 GUI 플레이북 설계를 지원하여 보안 분석가의 업무 부담을 경감하고 신속하고 정확한 위협 대응을 가능하게 합니다.
SOAR란?
SOAR(SecurityOrchestration,Automation, and Response)는 다양한 보안 솔루션을 통합 및 조율하고,
보안 위협 대응 절차를 자동화하여 보안 운영의 효율성을 극대화하는 플랫폼 입니다.
가트너(Gartner)는 2015년 SIEM(Security Information and Event Management) 보고서에서 SOAR의 초기 형태를 처음 언급했고 ,
2017년에는 그 개념을 명확히 정의했습니다.
SOAR는 기업의 보안 운영팀이 과도한 경고(Alert Overload)와 경고 피로(Alert Fatige)에 시달리고,
솔루션별 수동 작업 및 비표준화된 대응 절차를 겪는 문제를 해결하기 위해 제시되었습니다.
SOAR는 크게 오케스트레이션(Orchestration), 자동화(Automation), 대응(Response)의 세 가지 기능을 제공 합니다.
이 세 가지 기능은 독립적이기보다는 전체 대응 프로세스를 구성하는 유기적인 워크플로우 조합입니다.
Security Orchestration(보안 오케스트레이션): 다양한 보안 솔루션을 하나의 솔루션처럼 관리하고 조율하는 기능입니다.서로 다른 보안 솔루션(예: SIEM, EDR, Firewall 등)을 연동해하나의 통합 워크플로우로 운영됩니다.
Automaiton(자동화): 미리 만들어놓은 ‘플레이북(Playbook)’을 통해 업무를 자동화하는 기능입니다. 예를 들어, 악성 IP가 발견되면 차단, 파일 해시 조회, 계정 잠금 등의 업무를 순서대로 진행하도록 하여 보안 분석가의 업무를 줄이고 대응 속도를 높입니다.
- Response(대응): 분석 결과에 따라 자동 또는 반자동으로 위협 차단, IP 차단, 사용자 계정 격리 등 즉각적인 대응을 수행 합니다. 플레이북에 따라 위협에 대응하고, 각 공격과 대응을 ‘케이스(Case)’로 만들어 관리하며 협업 및 보고 기능을 포함합니다.
반복적인 업무 도출 후 빠르고, 정확한 대응을 지원하는 자동화 수행
자동화(침해대응)
- 규칙성 업무를 도출 및 자동화하여, 지속적인 자동화
업무처리 수행
– 알려진 보안 위협의 루틴 및 특징을 데이터화 하여 침해 위협 대응 업무 자동화
정확성(서비스)
- 보안업무 담당자의 일을 쉽고, 빠르고, 정확히 처리하도록 지원
– 보안 위협을 식별하고 분석하는데 있어, 대량 업무를 쉽고, 빠르고, 정확하게 보안업무를 처리할 수 있도록 구현
능동적(침해분석)
- 체계내의 식별 정보로 침해대응 능동적 확장
– 자동화로 기존보다 보안 위협 분석을 확장하여 다양한 신규위협을 식별, 침해 분석 및 대응 범위 확장
선 순환성(확산방지)
- 위협정보(TI) 추출 프로세스로 신규 위협의 지속적 공유
– 보안을 위협하는 다양하고 방대한 공격을 업무 담당자 대신 정해진 자동 기반 처리 지속 가능 침해 대응
eyeCloudXOAR SOAR만의 차별화된 Playbook
국내 최대규모 IDC센터에서의 운용 노하우을 통한 실효적이고 다양한 플레이북 설정을 지원합니다.
사용자 정의 플레이북 구성 및 보안장비 연동 컴포넌트 보유
- GUI 기반 사용자 정의 플레이북 구성 등 관리 기능 제공
- 사용자가 직접 제작해서 사용할 수 있는 플레이북 컴포넌트 통합 개발 환경(IDE)지원
위협 이벤트 정보의 사용자 정의 온톨로지화 관리
- 온톨로지-노드 관리 : Ticket(위협이벤트)에 대한 주요 Feature(위협정보지표)를 사용자정의에 따른 관리, 시각화 분석 및 플레이북 구동 시 연계/분석/통계 지표 정보로 활용
글로벌 표준 위협정보 분류 체계 적용 자동화
- 글로벌 표준 위협정보 분류 체계인 MITRE ATT&CK Matrix 정보 자동 수집 및 관리
- MITRE ATT&CK Navigator 모니터링 : 위협 이벤트 탐지 시 MITRE ATT&CK Attack ID와 매핑하여 공격 흐름의 시뮬레이션과 방어 기술을 제시하는 실시간 모니터링
국내외 다양한 보안 장비 및 CTI와 연동 완료
정책 연동 보안장비 국내 최다
국내외 여러 방화벽, IPS/IDS, WAF 등의 보안 장비와 연동 개발이 완료되어 있으며, eyeCloudXOAR의 플레이북에 의해 각 장비로의
정책 내려주기가 자동으로 실행됩니다.
다양한 CTI 연동으로 보안성 향상
국내외 다양한 사이버 위협 인텔리전스(CTI)와 연동 개발이 완료 되어 있어 보다 안전한 대처가 가능합니다. 또한, CTI 스캐닝 및 분석
과정이 자동화되어 있어 담당자의 업무를 획기적으로 줄여줍니다.
AI의 손 쉬운 사용을 통해 수 없이 많은 이벤트를 더욱 정확하게 분석
- 별도 학습이 필요 없는 On-Device 형태의 AI 제공(추가 옵션, 업데이트 별도 제공)
- 다양한 컴포넌트 조합으로 복잡한 분석 및 대응 프로세스 구성
- AI의 판단 과정까지 투명하게 이해할 수 있는 XAI
주요 기능
위협 대응 프로세스 표준화 및 자동화 (Playbook)
- 위협 분석/대응 업무를 위협 유형별 또는 기업별 정책에 따라
플레이북으로 표준화함으로써 이벤트 발생 시 자동화 처리 - 여러 보안 장비가 위협 종류 또는 프로세스 별로 자동화된 동작을
수행하도록 각 장비의 정책별 컴포넌트 설정 - 각 컴포넌트를 드래그 앤 드롭으로 조작하여 쉽고 간편하게
Playbook 생성 및 관리
위협 상황 가시화
- 온톨로지 분석 (Ontology Analysis)으로 복수 이벤트를 연관 분석.
이벤트, 자산명/종류, 출발지/목적지의 IP 및 포트 등 각 개체를 가시화 하여
전체 위협이 어떻게 진행되었는지 신속히 파악 가능 - 플레이북에서 위협별 대응 프로세스의 진행 상황, 컴포넌트별 자동/수동 처리
결과를 직관적으로 파악할 수 있어 업무효율 향상
AI에 의한 정오탐 분석, 이상행위 탐지
- AI 모델에 의한 정오탐 분석, 이상행위 탐지 후 위협 유형 분류,
분류된 위협 유형별로 플레이북에 의해 자동 대응 - Cyber Kill Chain 상황, KISA 위협 분석 유형, ATT&CK 분석 현황을
한 화면에서 확인 가능
3D Network Map으로 연동자산 가시화
- 서버, 네트워크 장비, End-Point장비, 보안장비 등 연동 자산을
Network Topology로 가시화함으로써 위협 분석 작업에 용이 - 사이버 위협의 Flow 현황, 각 연동자산의 트래픽 통계 정보 표시
- Nmap에 의한 자산 정보 및 서비스 정보 스캐닝, TraceRoute 기술을 통해
Network Topology 정보를 간편하게 생성
고객 사례
