10/22 포티넷에서 진행한 온라인 세미나가 열려, 관심있는 세션을 듣고 정리하였다.
2. UEBA 내부 직원 보안 유즈케이스 소개 (SIEM)
3. 보안위협 분석 자동화 유즈케이스 소개 (SOAR)← (현재 글)
포티넷 코리아 김재환 과장님께서 발표하신 이번 세션은 보안위협이 발생했을 때 분석하는 과정을 자동화하는 방법에 대한 내용이다.
< 개념 정의 >
- SOAR(Security Orchestration, Automation and Response): 데이터 수집, 가공, 상호작용 등을 통해 업무 자동화를 하기 위한 도구
- NGFW(Next Generation FireWall): 게이트웨이 경계에서 정책을 제어하고, 모든 트래픽을 검사할 수 있는 기능을 갖춘 방화벽
- Virustotal: 여러 바이러스 검사 소프트웨어 엔진을 사용하여 의심스러운 파일들을 무료로 검사해주는 웹사이트
- WHOIS: 한국인터넷진흥원이 제공하는 인터넷주소의 등록ㆍ할당 정보 검색 서비스
문제점
- 의심스러운 로그가 발생했을 때, 분석가가 차단 여부를 결정하기 위해 관련 데이터를 수집해야함
- 관련 데이터를 수집하여 보강하는 단순 작업에 분석가의 시간이 많이 들어감
보안위협 분석 절차
=> 데이터를 수집 및 보강하는 과정을 모두 분석가가 직접 수행해야 함
- (시스템) 기존 룰에 의해 차단되지는 않았으나 의심스러운 로그 발생
- (분석가) 유형 분석, 분석 우선순위 파악
- (분석가) 침해지표 추출
- (분석가) 외부 평판 정보 분석 (Virustotal, AlientVault, Whois)
- (분석가) Geolocation 분석
- (분석가) 내부 타 보안 장비 이벤트 참조 분석
- (분석가) 차단 여부 결정
SOAR를 사용항 분석 절차
=> 중간 과정을 SOAR로 대체할 수 있음
- (시스템) 기존 룰에 의해 차단되지는 않았으나 의심스러운 로그 발생
- (SOAR) 외부 평판 조회 및 샌드박스 분석
- (SOAR) 위험도를 자동 조정하여 분석가에게 알림
- (분석가) 차단 여부 결정
연동 가능한 시스템
- NGFW
- Sandbox
- 외부 평판 정보 서비스 (Virustotal, AlientVault, Whois)
'보안 > 데이터 분석' 카테고리의 다른 글
| 하둡 HDFS 데이터 업로드 및 다운로드 (0) | 2020.11.25 |
|---|---|
| [무료 온라인 세미나] UEBA 내부 직원 보안 유즈케이스 소개 (SIEM) - Fortinet 361 Security Conference 2020 (0) | 2020.11.05 |
| [무료 온라인 세미나] 보안 전문가 부족과 기술 격차 해소법 - Fortinet 361 Security Conference 2020 (0) | 2020.10.29 |
| sqoop 예제코드 (sqoop v1.4.7) (0) | 2020.09.28 |
| Elasticsearch 쿼리 모음 (0) | 2020.09.11 |