스플렁크 “SOAR와 XDR은 기업 보안의 구원투수”

By홍하나

“기업 보안(엔터프라이즈 시큐리티)에서 통합보안관제(SIEM)가 선발투수의 역할이라면, 보안관제센터(SOC) 보안 운영에 있어 마무리 구원투수는 오케이스트레이션 자동화 대응(SOAR)의 역할이라고 할 수 있다. 또 확장탐지 및 대응(XDR)은 엔드포인트 보안의 마무리 구원투수다.”

김기환 스플렁크 이사는 지난 2일 바이라인네트워크가 주최한 웹세미나 <보안운영 자동화·통합보안 위험관리 핵심 플랫폼으로 부상한 ‘SOAR’와 ‘XDR’>에서 이같이 밝혔다. 스플렁크는 데이터 플랫폼이라는 콘셉트 하에 다양한 로그를 수집해 SIEM과 XDR의 기능을 제공한다. 

스플렁크의 보안 분석 플랫폼은 엔터프라이즈 시큐리티(SIEM)와 보안 오케이스트레이션 자동화 대응(SOAR)으로 나뉜다. 

먼저, 엔터프라이즈 시큐리티는 자동화 및 오케스트레이션, 분석, 데이터 플랫폼, 인텔리전스 관리, 위협연구 5가지가 있다. 자동화 및 오케스트레이션은 반복적인 작업을 자동화하고 위협에 실시간으로 대응할 수 있는 기능이다. 

분석은 머신러닝(ML) 기반의 행위 분석을 사용해 알 수 없는 위협을 감지한다. 데이터 플랫폼은 이질적인 데이터 스트림 전반에 걸쳐 통찰력을 수집하고 정규화해 제공한다. 이를 통해 종단 간 가시성을 얻을 수 있다는 것이 회사 측의 설명이다. 

인텔리전스 관리는 내외부 인텔리전스 소스를 운용해 컨텍스트, 심각도에 따라 경보를 분류한다. 위협연구는 최신공격, 해커그룹의 기술에 대한 정보를 파악한다. 

스플렁크의 엔터프라이즈 시큐리티 작동 단계

스플렁크의 엔터프라이즈 시큐리티는 데이터 수집, 수집된 데이터의 정교화, 집계 및 통계, 사전에 정의된 룰을 통해 상관관계 규칙에 따라 경보 이벤트를 발생한다. 자산, 아이디 정보, 식별정보를 매칭해 경보를 탐지한다. 이를 위험기반 분석이라 하는데 오탐을 줄이고 어떤 이벤트에 중점을 둬야 할지 가이드라인을 제공한다. 

전통적인 알림(Alerting)의 경우 여러 데이터 소스를 통해 사전에 정의된 규칙을 기반으로 매칭되면 알림이 온다. 이런 알림은 초, 시간, 하루 단위로 사람이 처리하지 못할 정도로 울린다. 

반면, 위험기반 알림은 기존에 단순 알림에 대한 이벤트를 점수를 매기고, TPP 정보를 주석으로 표현한다. 또 조직에 대한 자산정보, IP, 사용자, 시스템 등 보안 모니터링 대상이 되는 오브젝트로 분석한다. 자산 연관성 정보를 적용해 궁극적으로 서로 연계된 알림을 바탕으로 가장 점수가 높고 보안 지표 높은 것을 묶는다. 

스프렁크는 여기에 속한다. 김기환 이사는 “스플렁크가 제공하는 SIEM은 이러한 방식으로 보안분석을 한 뒤 스플렁크 SOAR를 통해 위협에 대응한다”고 말했다. 

스플렁크의 SOAR는 워크북 기능을 제공한다. 엔드포인트, 네트워크, 애플리케이션 등을 태스크로 정의하고 여기서 발생하는 이벤트에 대한 대응 케이스를 사전에 만든 패키지 개념이다. 이를 하나의 카테고리인 테스크A, 테스크B 식으로 정의했다. 

김 이사는 “전반적인 카테고리별로 보안을 분석하기 위해 사전에 정의한 분석 플레이북”이라고 설명했다. 

스플렁크의 워크북 도식화

스플렁크의 SOAR는 워크북 개념을 바탕으로 위험을 조사한다. 리스크 이벤트를 대상으로 어떻게 분석하고 대응을 해야 하는지 하나의 콘텐츠 팩으로 묶는다. 조사가 끝나면 최종적으로 위험에 대응하는데, 이때 플레이 콘텐츠북을 통해 자동으로 적용된다.

두 번째는 확장탐지 및 대응(XDR) 도입으로 엔드포인트 로그 수집, 네트워크 스트림 데이터 수집으로 나뉜다.

스플렁크의 보안 분석 플랫폼에는 XDR이 도입됐다. 엔드포인트 로그를 기본, 중급, 고급으로 나눠서 수집한다. 

스플렁크의 보안 분석 플랫폼에는 XDR이 도입됐다.

김 이사는 “시스몬(Sysmon)이라는 툴을 통해 로그를 수집하면 풍부한 로그를 수집할 수 있다”며 “프로세스 생성, 프로세스 종료, 네트워크 연결, 레지스트리 접근, 명명된 파이프, 원격쓰레드 생성 등 다양한 로그를 수집할 수 있다”고 말했다. 이어 “이런 정보를 수습해야 전반적인 지표에 대응할 수 있다”고 덧붙였다.  

끝으로 김 이사는 “스프렁크는 데이터 플랫폼이라는 큰 아키텍처 컨셉을 가지고 있다”며 “엔드포인트, 데이베이스 로그 등을 수집해 엔터프라이즈 시큐리티를 통해 통합보안관제(SIEM) 기능을 제공하며, 여러 앱을 통해 다양한 활용을 제공한다”고 밝혔다. 

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

작은 것이라도 지나치지 않겠습니다. 0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다