SOAR 해설 알아두기
보안관제 영역의 자동화 플랫폼
다양한 보안 위협의 대응 프로세스를 자동화해 가능한 사람의 개입없이 보안 침해 사고에 대응하고 인력의 개입이 필요한 사고 발생 시 표준화되어 있는 업무 프로세스에 따라 직원이 보다 쉽게 높은 수준의 위협에 대응할 수 있도록 도와주는 보안 자동화 플랫폼으로 보안 오케스트레이션 및 자동화(Security Orchestration and Automation, SOA), 보안 사고 대응 플랫폼(Security Incident Response Platform, SIRP), 위협 인텔리전스 플랫폼(Threat Intelligence Platform, TIP)의 세 가지 핵심 기능으로 구성
SOA는 보안 관제팀이 위협을 선별, 조사 및 완화하기 위해 사용하는 도구들을 통합 관리하고 플레이북(특정 작업 절차 표준화)을 생성하고 도구들 간 업무흐름을 자동화하며, SIRP는 보안 사고 발생 시 대응 체계의 자동화로 R&R, 필요한 조치 사항, 해결이 되어야 하는 시간 등을 관리, TIP는 다양한 소스에서 실시간으로 위협 데이터를 수집하고 분석하여 보안 위협을 대응할 수 있도록 도움을 줌
한편, 많은 기업들이 보안 시스템을 도입하고 여기에서 쏟아지는 막대한 로그를 중앙에서 관리,분석하여 위협을 탐지할 수 있도록 SIEM(Security Information and Event Management)을 도입했으나 보안 인력은 크게 부족해 SOAR가 등장.