| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- XSS
- 사이버 보안
- 정보보안
- OverTheWire
- http
- SoC
- Cross-Site Scripting
- cert
- Bandit
- 리눅스 기초
- 해킹
- THM
- CTF
- 정보보호
- 보안 스터디
- 해커
- write-up
- Web
- 모의해킹
- linux
- 보안 관제
- 리눅스
- Blue Team
- 해킹 스터디
- 블루팀
- IR
- web hacking
- TryHackMe
- 워게임
- Cyber Security
- Today
- Total
AnbyMata의 해킹 노트
[Blue Team] EP.1 - SOC 기초 개념 본문
[1-1] SOC란?
SOC 정의
- People(사람), Process, Technology(기술)을 결합해 보안 이벤트를 실시간으로 모니터링하고, 위협을 판단하여 즉각적인 대응을 하는 운영 체계
SOC 핵심 프로세스
- 1. Collection(수집) : 네트워크 전반에서 발생하는 보안 로그와 Telemetry 데이터 수집
- 2. Detection(탐지/분석) : 수집된 데이터로 평소와 다른 이상 징후를 탐지하고 세부 내용 분석
- 3. Decision(판단) : 분석된 결과가 실제 공격인지 오탐인지 판단
- 4. Response(대응) : 확인된 위협에 대해 직접 대응 및 조치 가능한 팀으로 연결
[1-2] SOC 운영 지표
1. MTTD (Mean Time To Detect) - 탐지 속도
2. MTTR (Mean Time To Respond) - 대응 속도
3. FPR (False Positive Rate) - 오탐률
4. Coverage - 탐지 범위
[1-3] SOC 운영 과정
1. 수집 (Collection)
- 서버, PC, 방화벽, 클라우드 등 모든 지점에서 발생하는 로그를 SIEM으로 끌어오는 단계
2. 정규화 / 상관분석
- 로그 형식을 통일
- 서로 다른 곳에서 발생한 이벤트들을 연결해 하나의 공격 시나리오로 만드는 단계
3. Alert 생성 (Detection)
- 분석된 데이터 중 보안 위협으로 의심되는 항목에 대해 알람 발생
4. 1차 분류 (Triage)
- 알람들 중 진짜 조사해야할 위협을 1차적으로 선별
- 최근에는 AI가 대신 처리
5. 상세 조사 (Investigation)
- 1차 분류된 위협들이 실제 공격인지 판단
- 어떤 경로로 침입했는지 심층적으로 분석
6. 대응 (Response)
- 피해 최소화를 위한 실질적인 조치
- 공격 차단, 계정 격리 등
7. 피드백 / 개선 (Improve)
- 왜 위협을 허용했는가? 피드백
- 더 빠른 대응에 대한 피드백
- 탐지 규칙과 운영 절차에 반영
[1-4] SOC 운영 형태
자체 SOC (In-house)
- 조직 내부에 전담 인력과 인프라를 직접 구축
- 장점: 강력한 통제권, 기업 특화 맞춤형 운영
- 단점: 높은 구축 비용, 전문 인력 확보 및 유지 부단
위탁 SOC (MSSP)
- 전문 보안 업체에 운영 전체를 맡기는 형태
- 장점: 초기 비용 저렴, 빠른 토입, 24/7 전문 모니터링
- 단점: 커스터마이징 한계, 유연성 부족
하이브리드 SOC
- 핵심은 내부, 단순 모니터링은 외부에 위탁
- 장점: 가장 대중적인 형태, 균형있는 통제력과 효율성
- 단점: 역할 분담 및 책임 소재의 명확한 기준 필요
[1-5] SOC 성숙도
Lv.1 - 기본 수집
- 로그 수집과 보관
- 방화벽 로그 등을 주 1회 정도 수동으로 확인
- 공격 인식이 늦는 경우가 많음
Lv.2 - 규칙 기반 탐지
- SIEM 도입
- Alert (알림) 기반 운영
- 알림이 뜨면 1차 분류(L1)와 조사(L2)를 수행하는 체계
- 대부분의 중견/대기업 SOC의 목표
Lv.3 - 위협 헌팅
- 시스템이 알림을 주기 전 보안 요원이 능동적으로 위협을 찾아 나섬
- MITRE ATT&CK 매핑 등 고도화된 분석 기법
- 위협 헌팅 전담 인력 보유
Lv.4 - 자동화/예측
- AI/ML 기반 탐지와 SOAR 연동
- 반복 업무는 자동화
- AI가 이상 행위를 미리 탐지해 분석가에서 우선 순위 제안
- 최고 수준 단계
[1-6] SOC가 주목하는 핵심 데이터 소스
1. 인증 로그
- 로그인 성공/실패, MFA (2차 인증), VPN, SSO 접속 기록을 통한 비정상적인 접근 시도 파악
- ex) 해외 IP로 로그인
2. 엔드포이트 로그
- PC나 서버 내부에서 발생하는 프로세스 실행, 파일 생성, 서비스 변경 등의 세부 행위 추적
- ex) exe 파일 실행 후, 외부 IP와 대량 통신 발생
3. 네트워크 로그
- DNS, Proxy, 방화벽, IDS/IPS 데이터를 통해 네트워크 흐름과 외부 통신 상태 모니터링
- ex) 생소한 외부 도메인으로 데이터 대량 전송
4. 클라우드 로그
- IAM (권한 관리), API 호출, 저장소 접근 기록을 통해 클라우드 환경의 설정 오류나 권한 오용 탐지
- ex) 새로운 사용자가 생성되어 설정을 변경
5. 이메일 로그
- 수신 내역, 링크 클릭, 첨부파일 실행 등을 분석해 피싱이나 악성코드 유입 경로 차단
- ex) CEO 사칭 메일
6. Context 테이터
- 자산의 중요도, 사용자 권한, 최신 위협 인텔리전스 등을 결합해 탐지한 이벤트의 실제 위험도 판단
- ex) 퇴사자 계정을 악용한 로그인 시도
[Blue Team] EP.1 - SOC 기초 개념. END.
[Blue Team] EP.2 - L1, L2, L3, IR/CERT. Continue...
https://anbymata.tistory.com/64
[Blue Team] EP.2 - L1, L2, L3, IR/CERT
[2-1] 대표적인 SOC 운영 구조L1 - Alert Triage- 역할: 1차 분류 및 모니터링- 대량 알람 중 실제 위협 후보를 선별 L2 - Deep Analysis- 역할: 상세 분석- 위협의 침투 범위 파악 및 실제 칩입 여부 최종 판단 L
anbymata.tistory.com
'Blue Team (SOC) > SOC 기초 개념' 카테고리의 다른 글
| [Blue Team] EP.5 - 공격 시나리오 (1) | 2026.04.18 |
|---|---|
| [Blue Team] EP.4 - 보안 도구들 (1) | 2026.04.17 |
| [Blue Team] EP.3 - Alert 판단 (0) | 2026.04.16 |
| [Blue Team] EP.2 - L1, L2, L3, IR/CERT (0) | 2026.04.15 |