[Blue Team] EP.4 - 보안 도구들

[4-1] SOC의 주요 보안 도구들

SIEM (Security Information and Event Management)

- 중앙 관제 플랫폼

- 인프라 전체의 로그 수집

- 로그들을 정구화하고 상관관계를 분석하여 위협 탐지

- 범위: 전체 인프라를 넓게 조망

 

 EDR (Endpoint Detection and Response)

- 개별 PC나 서버(endpoint) 내부에서 일어나는 프로세스 실행, 파일 생성 등 상세 확인

- 위협시 격리 및 파일 차단 조치 수행

- 범위: 호스트 내부를 깊게 분석

 

IDS/IPS (Intrusion Detection/Prevention System)

- IDS = 네트워크 트래픽 흐름 속에서 악성 패턴이나 비정상 통신 탐지

- IPS = 악성 패턴이나 비정상 통신 탐지 시 정책에 따라 차단

- 범위: 네트워크 흐름 전체를 감시

 

SOAR (Security Orchestration, Automation and Response)

- 여러 보안 도구와 시스템을 연결

- 반복적인 업무를 Playbook 기반으로 자동화

- 대응 속도를 극대화하는 엔진

- 범위: 각 보안 도구 간의 연결

 

Case/Ticket (수사 기록 장부)

- 탐지된 위협의 분석 과정부터 최종 조치 결과까지의 모든 과정 문서화

- 팀 간의 협업 및 추적 관리

- 범위: 전체적인 보안의 운영 문서화

 

 

[4-2] 현대 SOC의 Operational Chain

1. Data Sources

= 로그, 트래픽, 엔드포인트 등 모든 보안 데이터의 시작점

 

2. SIEM Detection

= 수집된 데이터를 바탕으로 SIEM이 위협을 탐지

 

3. Analyst Triage

= 분석가가 탐지된 이벤트의 우선순위를 정하고 실제 위협인지 판단

 

4. EDR/Net Deep Dive

= 필요 시 엔드포인트나 네트워크 데이터를 통해 심층 분석

 

5. SOAR/IR Action

= SOAR 및 IR 체계를 통해 위협을 차단하고 격리

 

6. Case Closure

= 모든 대응 완료 → 사건 종결

 

운영의 효율화 → MTTD와 MTTR의 효과적 감소

 

 

[4-3] SOAR Playbook 예시

1. Trigger

 - 로그인 페이지 SQL Inection 시도 탐지 → WAF 또는 SIEM Alert 발생

 

2. 자동 Enrichment

 - 공격 IP 평판 조회

 - payload 분석

 - 과거 공격 이력 대조

 

3. 조건 분기

 - 명백한 악성 공격 → 4번 자동 조치

 - 공격 여부 모호 → 보안 분석가에게 판단 요청

 

4. 자동 조치

 - WAF 에서 해당 IP 즉각 차단

 - 침해 시도한 계정 임시 잠금

 - 보안 장비 정책 업데이트

 

5. 자동 기록

 - Incident Case 생성

 - 차단 로그 기록

 - 공격 패턴을 침해 지표 (IOC)로 등록 및 보고서 작성 

 

---

[Blue Team] EP.4 - 보안 도구들. END.

 

[Blue Team] EP.5 - 공격 시나리오. Continue...

https://anbymata.tistory.com/67

[Blue Team] EP.5 - 공격 시나리오