스플렁크, 보안관제 수작업 덜어주는 `SOAR` 소개

실시간
뉴스

솔루션

스플렁크, 보안관제 수작업 덜어주는 'SOAR' 소개

디지털데일리 발행일 2021-10-20 16:28:18

박세아

URL복사

[디지털데일리 박세아 기자] 보안 운영에 있어 반복적인 수작업을 줄여줄 수 있는 스플렁크의 자동화된 통합보안관제 솔루션(SOAR)이 소개됐다.

스플렁크의 SOAR은 보안관제 자동화를 위한 오케스트레이션 지원이 가능하다. 현장에서 보안관제를 위해 개별 제품을 추가해도 오케스트레이션이 이뤄지지 않아 불편을 호소하는 담당자가 많았는데 이를 스플렁크 솔루션으로 해결할 수 있다는 설명이다.

20일 디지털데일리 주최 '보안 운영 끝판왕, SOAR! 이것만은 알고가자!!' 웨비나에서 스플렁크가 보안관제에 필요한 SOAR에 대해 발표했다.

SOAR는 보안(Secutity), 오케스트레이션(Orchestration), 오토메이션(Automation), 대응(Response)의 약자다.

스플렁크 코리아 황원섭 매니저는 "타사 SOAR 솔루션과 비교해 스플렁크는 보안관제 과정 관련 자동화가 가능하다"며 "이전에는 일일이 사람이 작업을 해야 했던 의사결정과 실행과정 역시 자동적으로 이뤄진다"고 설명했다. 그는 SOAR가 보안경보가 양적으로 증가하고, 동일한 절차를 반복적으로 수작업해야 하는 상황을 해결할 수 있다고 평가했다.

구체적으로 스플렁크 SOAR 장점으로는 ▲반복작업 자동화 ▲보안 이벤트 대응 속도 개선 ▲기존의 보안 인프라와 통합 ▲기존 보안 인프라와 통합해 방어태세 개선에 적극적으로 기여하는 것 등을 꼽았다.

SOAR는 SOC전반에 대한 복잡한 워크플로우를 조율할 수 있고, 자동화된 조치를 초단위로 실행 가능하게 한다. 이벤트 관리 측면에서는 가장 상관도가 높은 이벤트부터 분류 평가 워크로드에서 노이즈를 제거하고, 검증된 이벤트만 공식적인 케이스로 상향시킨다.

경쟁사 대비 자동화를 위한 오케스트레이션이 지원된다는 장점 외에도 무료버전으로 제공되는 커뮤니티 포커스, 또 대용량 환경에서도 처리가 가능한 엔터프라이즈 아키텍쳐도 차별점으로 제시했다.

황 매니저는 "반복 작업 자동화를 통한 스마트한 업무 환경을 조성하고, 분석가는 미션 크리티컬한 업무에 집중할 수 있다"며 "이와 같은 절차를 통해 보안 이벤트 대응 속도가 개선될 것"이라고 말했다.

그는 "SOAR 도입이 필요한 곳은 자사 쏘아의 장점을 면밀히 분석하면서 SIEM(위혐식별 역할)이나 데이터분석 플랫폼이 갖춰져 있는지 확인해야 한다"고 당부했다. 스플렁크 SOAR는 타사 SIEM과 연동이 가능하다.