[Blue Team] EP.2 - L1, L2, L3, IR/CERT

[2-1] 대표적인 SOC 운영 구조

L1 - Alert Triage

- 역할: 1차 분류 및 모니터링

- 대량 알람 중 실제 위협 후보를 선별

 

L2 - Deep Analysis

- 역할: 상세 분석

- 위협의 침투 범위 파악 및 실제 칩입 여부 최종 판단

 

L3 - Detection Engineering

- 역할: 헌팅 및 룰 개선

- 능동적으로 위협을 찾음 (= Threat Hunting)

- 탐지 공백을 메우는 룰 작성

 

IR/CERT - Incident Response

- 역할: 실제 대응 및 복구

- 시스템 격리, 포렌식, 피해복구 및 사후 보고서 작성

 

 

[2-2] IR/CERT의 미션

IR (Incident Response) = 사고 대응 팀

CERT = 침해사고 대응 팀

→ 단순 분석이 이닌 위협을 통제하고 시스템을 정상 상태로 복구하는 팀

 

1. Contain (억제)

 - 계정 잠금, 호스트 격리, IP 차단 등으로 공격자가 더 이상 활동할 수 없게 함

 

2. Eradicate (제거)

 - 침투의 원인이 된 취약점 제거 및 악성 프로세스 삭제

 

3. Recover (복구)

 - 서비스 정상화 및 동일 공격 재발 방지를 위한 보완

 

4. Improve (개선)

 - 사후 분석을 통해 관제 룰 개선 및 보안 체계 강화

 

 

[2-3] NIST CSF 2.0으로 본 SOC 계측별 역할

1. Detect (탐지) - SOC의 존재 이유인 위협 발견/탐지

 - 모든 계층이 관여

 - L1(분류) & L3(엔지니어링): 탐지의 핵심. L1은 실시간 알람을 선별하고, L3는 새로운 탐지 룰을 설계해 공격 감지

 - L2(분석): 발견된 위협이 진짜인지 심층 분석하며 탐지 지원

 - IR/CERT: 부분적으로 참여. 실제 상황 발생시 가동될 준비

 

2. Respond (대응) - 공격의 확산을 막고 조치하는 단계

 - 뒤로 갈수록 책임이 무거움

 - IR/CERT: 대응의 핵심. 시스템 격리나 차단 등의 실제 액션을 수행

 - L2(분석): 분석 결과를 토대로 대응 방향 결정. 주요 파트너 역할

 - L1(분류) & L3(엔지니어링): 상황 전파 및 기술적 지원 수행. 부분적 참여

 

3. Recover (복구) - 사고 이후 시스템 정상화

 - IR/CERT: 복구의 중심. 서비스 정상화와 재발 방지 대책 수립을 주도

 - L2(분석) & L3(엔지니어링): 복구 과정에서 필요한 분석 데이터나 개선된 보안 설정을 제공하며 도움

 - L1(분류): 복구 단계에서는 관여도가 낮음

 

4. Identify (식별) - 자산 및 위험 파악 단계

 - L3(엔지니어링): 탐지 룰을 만들기 위해 자산의 특성과 위협 모델 분석

 - L2(분석) & IR: 사고 분석과 대응 과정에서 파악된 자산 정보를 업데이트. 부분적 참여

 - L1(분류): 식별 단계에서는 관여도가 낮음

 

L1(분류) - 탐지에 집중

L2(분석) - 탐지와 대응 사이에서 분석의 교량 역할

L3(엔지니어링) - 탐지와 식별을 통해 방어 체계의 기반 설계

IR/CERT - 대응과 복구라는 최종 해결사 역할

 

 

 

---

[Blue Team] EP.2 - L1, L2, L3, IR/CERT. END.

 

[Blue Team] EP.3 - Alert 판단. Continue...

https://anbymata.tistory.com/65

[Blue Team] EP.3 - Alert 판단