1. SOC 팀이란 뭘까?
SOC팀은 Security Operation Center의 줄임말로 지속적인 모니터링과 분석을 통해서 공격을 감지하고 대응하는 팀을 말한다.
SOC 팀의 종류
In-house SOC
사이버 보안 팀을 구축할 때 형성되는 SOC이다. SOC를 고려해서 지속적인 운영과 지원할 수 있는 충분한 예산을 확보해야 한다.
Virtual SOC
SOC 팀에서 물리적 시설이 없으며, 다양한 위치에서 원격으로 근무하는 경우가 많다.
Co-Managed SOC
내부 SOC 인력과 외부 MSSP가 함께 운영하는 형태이다. 이 모델에서는 협업과 조율이 핵심이다.
Command SOC
대규모 지역 내 여러 SOC를 총괄하는 SOC이다. 주로 대형 통신사나 국방 기관에서 사용하는 모델이다.
SOC 역할
SOC Analyst
- SOC 구조에 따라서 Level 1,2,3로 구분되며 보안 분석가 경고를 분류하고 원인을 분석하며 대응 방안을 제시하는 역할이다.
Incident Responder
- 보안 위협 탐지를 담당하는 역할이며, 보안 침해 발생시 초기 평가를 수행하는 역할이다.
Threat Hunter
- 조직의 네트워크 혹은 시스템 내 잠재적인 위협과 취약점을 능동적으로 탐색하고 조사하는 전문가이다.
Security Engineer
- SIEM 및 SOC 관련 보안 인프라를 구축하고 유지하는 역할입니다. 시스템 간의 연동을 구축하는 일을 많이 함
SOC Manager
- 예산 관리, 전략 수립, 인력 관리, 운영 조율 등 관리적인 책임을 맡으며 기술 보다는 운영 및 관리 측면에 집중하는 역할
2. SIEM 이 무엇인가?
SIEM 개념
SIEM은 보안 정보와 이벤트 관리를 결합한 보안 솔루션입니다. 시스템은 환경에서 발생하는 이벤트를 실시간으로 로그로 기록하며 이벤트 로킹의 궁극적인 목적은 보안 위협을 탐지하는 것입니다.
유명한 SIEM 프로그램
IBM QRadar, ArcSigh ESM, FortiSIEM, Splunl, etc…
3. EDR - Endpoint Detection and Response
EDR 혹은 ETDR의 경우 엔드포인트의 데이터를 지속적이고 실시간으로 모니터링 및 수집하여 엔드포인트의 데이터를 지속적이고 실시간으로 모니터링 수집하고, 규칙 기반 자동 대응 및 분석 기능을 제공합니다.
4. SOAR (Security Orchestration Automation and Response)
SOAR는 보안 도구를 연결하고, 반복 작업을 자동화하며, 위협 대응을 수행하는 보안 플랫폼입니다. SOAR에서는 시간과 자동 프로세스를 저장합니다.
- Splunk Phantom
- IBM Resilient
- Logsign
- Demisto