김 찬석보안관제 플랫폼(SIEM/SOAR) 구축 가이드라인
국가사이버안보센터(NCSC)에서는 최근 “관제기술플랫폼(SIEM/SOAR) 구축 가이드라인”을 공개하였습니다.
공공분야 SIEM/SOAR 도입시 참고하여야 하는 사항이나, 최근 보안에 대한 우려와 관심이 높아지는 만큼
민간 부문에서도 보안관제 플랫폼 구축시 참고하면 더욱 안전한 관제 환경을 마련하는 데 도움이 될 듯하여 공유합니다.
SIEM은 Security Information and Event Management의 약자로, 조직의 보안위협을 탐지, 분석, 대응하도록 돕는 보안솔루션 입니다.
시스템에서 발생하는 로그 데이터를 수집하고 분석하여, 비정상적인 활동이나 잠재적인 보안 위협을 식별하고 이에 대한 대응을
자동화화여 IT 환경 전반에 대한 가시성을 확보하여 보안 사고를 예방하고, 보안위협에 효과적으로 대응할 수 있도록 지원하는
시스템입니다.
SOAR는 Security Orchestration, Automation, and Response의 약자로,
여러 보안 도구와 시스템을 통합하고 자동화된 워크플로우를 통해 위협에 신속하고 효과적으로 대응할 수 있도록 지원하는
보안 오케스트레이션, 자동화 및 대응 플랫폼으로 보안 운영의 효율성을 높이고, 반복적인 작업을 자동화한 시스템입니다.
SEIM과 SOAR는 모두 보안 시스템이지만, 역할과 기능에서 차이가 있습니다. SIEM은 주로 로그 데이터를 수집하고 분석하여
위협을 탐지하는 역할을 하는 반면, SOAR는 SIEM에서 탐지된 위협에 대해 자동화된 대응 절차를 실행하고,
다양한 보안 도구 및 시스템을 연동하여 위협 대응을 자동화하는 역할을 합니다.
즉, SIEM이 탐지에 집중하는 반면, SOAR는 탐지된 위협에 대한 대응에 집중한다는 차이가 있습니다.
[ 국가사이버안보센터 : SIEM 및 SOAR 플랫폼 구축하기 – 실무자 지침 ]
“SIEM 및 SOAR 플랫폼 구축하기 – 실무자 지침”은 SIEM/SOAR 플래폼에 대한 정의와 함께 플랫폼에 대한 장점과 플랫폼 구축시
구현과제, 관련 사례등 보안 실무자가 숙지해야 하는 지침을 안내합니다.
[ 국가사이버안보센터 : SIEM 수집로그 우선순위 목록 – 실무자 지침 ]
“SIEM 수집로그 우선순 – 실무자 지침”은 SIEM 플래폼에서 우선적으로 수집되어야 하는 로그에 대한 권장사항을 안내합니다.
보안관제 업무에 종사하건, 유관업무를 담당하고 계신 실무자분들은 ‘보안관제 플랫폼(SIEM/SOAR) 구축 가이드라인”을
참고하시기 바랍니다.
※ 원본출처 : 국가사이버안보센터(NCSC)
- https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=InstructionGuide_main&nttId=212209&menuNo=070000&subMenuNo=070300&thirdMenuNo=#LINK
※ 영문원본은 하기 URL에서 직접 다운로드 및 열람 가능
- https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/implementing-siem-and-soar-platforms