Splunk Blog

SecOps를 위한 Splunk Phantom_SOAR 필요성과 주요 기능들

Written by SCK Splunk | 2020, 7, 29

안녕하세요, SCK Splunk 사업팀입니다.

지난 포스팅에서 SOAR란 무엇인지 알아보았는데 많은 도움이 되셨나요? SOAR란 결국 '워크플로우, 오케스트레이션, 오토메이션, 지식관리 보안'을 합친 개념으로 무한히 늘어난 위협 요소들을 대응해야 하는 환경에서 제한된 리소스를 활용하여 최적의 보안을 구현하기 위한 필수 요소라고 할 수 있습니다. 이번 편에서는 이러한 SOAR 솔루션이 구체적으로 왜 필요한지, 그리고 Splunk Phantom의 주요 기능은 무엇이 있는지에 대해 알아보도록 하겠습니다. 

 

SOAR 기술의 주요 동인은 보안 인력 부족, 다양한 소스로부터 발생하는 많은 데이터로인한 관제 요원의 피로감, 보안 위협의 파괴적 성격의 증가, 보안 관제 센터에서의 중앙 저장소 역할의 필요 및 통제 센터의 필요 때문입니다. 인력 부족은 보안이라는 분야가 빠른 기간 내에 많은 숙련된 인력을 만들어 낼 수 없는 분야 임과 동시에 많은 경험과 시간이 필요함을 알 수 있습니다. 관제 요원의 피로감은 많은 보안 솔루션으로부터 발생하는 이벤트로부터 조직에 위협이 되는 인시던트를 탐지하기 위해서는 단순한 동작을 반복적으로 많은 시간을 할당해야하는 함을 의미합니다.  파괴적인 위협은 조직에 엄청난 재정적 손실을 초래할 수 있으며 CISO는 보안 투자에 가시적인 수익을 보여야한다는 압력에 직면 해 있습니다. SOAR 솔루션은 보안 상태를 개선하고 비즈니스 위험을 줄이는 것 사이에서 이상적인 균형을 유지할 수 있습니다.

 

보안 경고 증가 : 보안 팀은 주당 평균 174,000 건의 경고를 받지만 이 경고 중 약 12,000건 (또는 7% 미만)만 응답 할 수 있습니다.

느린 사고 대응 : 평균 대응 시간(MTTR : Average Mean Time to Respond)은 거의 4.4일이었습니다.

제한된 인력 : 사이버 보안 전문가 중 79 %는 보안 관제 센터 (SOC : Security Operation Center)에 충분한 인력이 없다고 답했습니다.

부적절한 보안 교육 : 보안 분석가를 효과적으로 교육시키는데 평균 8개월이 걸립니다. 그러나 이 전문가 중 4분의 1은 2년 이내에 조직을 변화시킵니다.

복잡한 보안 도구 : 설문 응답자 중 75%가 여러 보안 도구로 작업하는 것이 상당히 어렵다는 점을 지적했습니다.

보안 메트릭 부족 : 42%는 인시던트 대응 메트릭을 측정 할 수 있는 시스템이 없다고 답했습니다.

위에서 언급한 요소 중 특히 '인력 부족'을 해소하기 위한 Splunk Phantom의 자동화 기능 중 '플레이북'이란 무엇인지 알아보겠습니다. Phantom의 플레이북은 다음의 이미지와 같이 구성되어 있습니다.

비주얼 플레이북 편집기(Visual Playbook Editor)

Phantom VPE(Visual Playbook Editor)를 사용하면 개발자와 비개발자가 모두 드래그 앤 드롭으로 복잡한 팬텀 플레이북을 쉽게 구성하고 사용자 지정할 수 있습니다. 플레이북을 그래픽으로 구성하는 동안 VPE는 장면 뒤에서 실시간으로 모든 지원 코드를 생성합니다. 고급 사용자는 VPE 인터페이스를 사용하여 새 플레이북을 시작한 다음 나중에 통합된 Python 플레이북 편집기 및 디버거로 전환하여 미세 조정할 수 있습니다.

플레이북 캔버스(Playbook Canvas) 함수 블록(Function Blocks)

VPE를 사용하면 작동 순서를 설명하는 함수 블록 및 커넥터를 사용하여 플레이북을 만들 수 있습니다. 새 블록을 만들면 플레이북의 다음 단계로 가능한 모든 함수 블록 유형이 표시됩니다. 실행할 수 있는 보안 동작을 정의하고, 데이터를 필터링하고, 인코딩된 로직을 사용하여 결정을 내리고, 입력 또는 확인을 요청하고, 다른 플레이북을 호출하는 등의 액션을 수행할 수 있습니다.

 

마지막으로, Phantom을 사용하면 보안 분야의 협업을 보다 쉽게 구현할 수 있습니다. 관련 기능은 다음과 같습니다. 

팬텀 조사(Phantom Investigations)

조사 화면은 사용자 협업 및 사례 관리를 위한 허브입니다(“인시던트 관리” 라고도 함). 분석가는 협업을 통해 자동화된 액션 또는 플레이북의 결과를 검토하고, 이벤트로부터 처리된 데이터를 보면서, 데이터에 대한 실시간 결정을 내릴 수 있습니다.

팬텀 미션 가이던스(Phantom Mission Guidance)

Phantom Mission Guidance는 보안 운영 분석가를 지원하는 지능형 보조자입니다. 보안 이벤트를 조사, 억제, 제거 및 복구하는데 도움이되는 권장 사항을 제공합니다. 보안 이벤트 데이터를 현재 구성된 SOC 도구 및 플레이북에 매핑하여 작동합니다. 팬텀 미션 가이던스 권장 사항은 새로운 분석가에게 보다 숙련된 분석가의 선택을 취하게하고, 검증하는 단계에 대한 교육을 제공합니다.

활동 피드(Activity Feed)

Splunk Phantom의 활동 피드에는 현재 표시된 이벤트에 수행된 모든 현재 및 과거 액션 및 플레이북 활동이 표시됩니다. 이를 통해 이벤트에 대한 성공, 지속적인 실행 및 모든 자동화 오퍼레이션의 결과를 신속하게 확인할 수 있습니다. 활동 피드는 또한 자동화 세부 사항 및 기타 데이터와 인라인으로 통합된 팀 협업 기능을 제공하여 모든 관련 이벤트 정보를 기록합니다.

 

사례 관리(Case Management)

사례 관리는 Splunk Phantom에 완전히 통합되어 검증된 이벤트를 사례로 쉽게 홍보 할 수 있습니다. 또한 하나의 인터페이스에서 사용 가능한 모든 도구, 기능 및 데이터에 지속적으로 액세스 할 수 있습니다. 사례 관리는 정의된 표준 운영 절차 (SOP: Standard Operating Procedures)에 매핑되는 사례 태스크를 지원합니다. 또한 Case Management는 Phantom Automation Engine에 대한 전체 액세스 권한을 가지므로, 태스크의 부분으로 액션 및 플레이북을 시작할 수 있습니다.

 

워크북 (Workbooks)

워크북을 사용하면 SOP를 재사용 가능한 템플릿으로 체계화 할 수 있습니다. Phantom은 인시던트 대응을 위한 NIST-800-61 템플릿과 같은 사용자 정의 및 산업 표준 워크북을 지원합니다. 태스크를 단계 (예 : 탐지, 분석, 격리, 근절 및 복구)로 나누고 팀 구성원에게 태스크를 할당하고 문서 작업 등을 수행 할 수 있습니다. 자동화 액션 및 플레이북을 정의한 워크북 템플릿에 직접 포함시킬 수도 있습니다.

 

이상으로 SOAR 솔루션을 사용해야 하는 이유와 이에 따른 Splunk Phantom의 주요 기능들에 대해 알아보았습니다. Splunk Phantom에 대해 좀 더 자세히 알아보고 싶을 경우 아래 링크의 On-Demand 웨비나를 신청하시면 자세한 강의와 함께 자료를 받아보실 수 있습니다. 

팬데믹 시대의 Security_Splunk Security On-Demand 웨비나 바로가기

긴 글 읽어주셔서 감사합니다.