;preserveAspectRatio(xMidYMid)))
인시던트에 대응할 때는 시간이 매우 중요합니다. 올바른 데이터를 기반으로 올바른 의사 결정자와 함께 올바른 순서로 올바른 결정을 내려야 합니다. 잘 정의되고 효율적인 프로세스를 갖추는 것이 중요합니다. 해당 프로세스를 최대한 자동화하면 시간이 단축되고 분석가의 효율성이 향상됩니다.
잘 정의된 인시던트 대응(IR)은 적시에 정확한 대응을 하기 위해 계획, 기술, 조정 및 자동화를 필요로 합니다. NIST (링크는 ibm.com 외부에 있음) 및 SANS (링크는 ibm.com 외부에 있음)에는 오랜 시간 동안 테스트를 거친 IR 가이드라인이 있습니다. NIST는 잘 정의된 IR 프로세스를 다음과 같은 단계로 설명합니다:
- 대비
- 감지 및 분석
- 봉쇄, 제거 및 복구
- 인시던트 사후 활동
IBM Security® QRadar® SOAR 플레이북은 단계, 작업 및 조치의 간단한 계층 구조 기반으로 IR 프로세스를 정의할 수 있는 기능을 제공합니다. QRadar SOAR에서 케이스가 생성되면 플레이북이 대응에 필요한 단계, 작업 및 조치를 정의합니다.
QRadar SOAR 플레이북 디자이너를 사용하면 표준 사고 대응 프로세스 또는 작업 을 항목들쉽게 구축할 수 있습니다. 플레이북 작업은 분석가에게 각 작업을 완료하는 방법과 작업 수행 순서에 대한 지침을 제공합니다. 의사 결정 지점을 통해 프로세스를 동적으로 조정하고 분기하여 추가 작업을 포함하거나 불필요한 작업을 건너뛸 수 있습니다. 인시던트 발생 중에 분석가가 수동으로 추가 작업을 추가할 수 있습니다.
Qradar SOAR 침해 대응 모듈은 분석가에게 180개 이상의 글로벌 개인 정보 보호 규정을 포괄하는 침해별 작업을 제공하여 보고 요건을 충족하고 막대한 벌금을 피할 수 있도록 지원합니다.
작업은 조치를 정의하고, 조치는 다른 도구와의 통합을 통해 자동화를 실행하여 대응 프로세스를 가속화할 수 있습니다. QRadar SOAR는 300개 이상의 보안 솔루션과 통합할 수 있습니다. 작업 항목들과 작업 실행 순서를 정의하고, 가장 일반적으로 실행되는 작업들은 먼저 자동화할 수 있습니다.
자동화된 위협 탐지 기능은 경고를 발생시키고, 분석가는 이를 바로 검토할 수 있습니다. 이러한 경보를 QRadar SOAR에 전송하면 케이스가 작성되고 인시던트 대응(IR) 프로세스가 시작됩니다.
이 작업들은 보안 팀이 감염된 시스템을 분석하고, 측면 이동 공격을 분석하는 데 도움이 됩니다.
플레이북을 통해 인시던트 유형에 맞는 올바른 작업 항목들을 만들 수 있습니다. QRadar SOAR를 사용하면 다양한 유형의 공격에 대한 플레이북을 만들 수 있습니다. 플레이북에는 공격의 속성에 따라 여러 작업을 트리거하는 로직이 포함되어 있습니다.
SOAR 케이스가 조기에 생성될수록 자동화를 통해 시간을 더욱 절약할 수 는 있습니다. 정의된 작업은 새로운 분석가에게 필요한 정보를 줄 수 있고, 또한 케이스에 관한 문서화를 만들 수 있습니다. 아카이브 기능을 사용하면 오래된 케이스나 오탐을 정리하여 시스템을 깨끗이 정리할 수 있습니다. 그렇다 할지라도, 영구 기록 기능으로 언제든지 조회는 가능합니다.
이 단계에서 분석가는 경고가 실제인지 조사하고 결정해야 합니다. 작업 지침은 상호 연결된 여러 도구에서 관련 세부 정보를 자동으로 수집할 수 있습니다. 정보가 케이스 데이터 테이블에 추가되고 인시던트 문서화 과정이 시작됩니다.
보강 기능은 LDAP 디렉터리로 이동하여 노트북 소유자를 케이스에 추가하거나 경보 소스(예: SIEM, EDR, 클라우드 등)에서 모든 관련 세부 정보를 수집하는 것처럼 간단할 수 있습니다. 플레이북 조치의 보강 기능을 자동화함으로써 분석가는 인시던트를 검토 및 확인하거나 오탐으로 결정하는 과정에 집중할 수 있습니다.
데이터가 손실된 경우, 영향을 받은 개인들과 그들의 해당 지역이 포함된 침해 대응 설문지를 작성하면 관련 규정과 대응 시간 및 보고 작업을 결정하는 데 도움이 됩니다.
공격 중에는 시간이 가장 중요하며, 조치를 자동화하면 시간을 절약하고 새로운 분석가의 학습 노력을 줄일 수 있습니다. 300개 이상의 연계 및 개방형 표준 지원을 통한 봉쇄 작업의 자동화가 최우선 과제입니다. 분석가가 인시던트를 확인하면 분석가가 자동 또는 수동으로 조치를 실행할 수 있습니다. 이 단계의 조치는 시스템을 오프라인으로 전환하거나 프로세스의 실행을 중지할 수 있습니다. QRadar EDR 또는 Cybereason과 같은 EDR 도구와의 통합을 통해 직원의 노트북을 오프라인으로 전환할 수도 있습니다.
급여 또는 HR을 다루는 IT 시스템의 경우, ServiceNow 또는 SAP와 같은 자산 관리 도구에서 시스템 IT 소유자 및 비즈니스 소유자를 조회할 수 있습니다. 자동화 기능을 통해, 소유자에게 이메일을 보내 시스템이 감염되었음을 알리고, 소유자가 이메일 또는 Slack을 통해 알림을 받았다는 설명과 함께 소유자를 케이스 데이터 테이블에 추가할 수 있습니다.
경영진의 노트북과 같이 가치가 높은 표적의 경우, 플레이북은 시간 처리가 매우 중요할 수 있어, 분석가가 강화 및 검증 단계에서 작업을 계속하는 동안에도 플레이북은 격리 조치를 또한 실행할 수 있습니다. 공격의 세부 사항이 확인되면 EDR 통합을 사용하여 방화벽 차단 목록에 대한 업데이트를 자동화하여 측면 이동 공격 또는 재시도 공격을 방지하여 분석가의 시간을 절약할 수 있습니다.
이 단계에서 보안 팀은 남은 복구 조치를 취하고 팀 전체에 인시던트 해결 내용을 전달할 수 있습니다. 분석가는 IT 부서에 시스템 이미지 재구성 또는 백업 복원 요청을 생성하고 추적하는 조치를 자동화할 수 있습니다.
ServiceNow와 같은 도구와의 양방향 통합을 통해 분석가는 QRadar SOAR에서 티켓을 생성하고 진행 상황을 모니터링할 수 있습니다. ServiceNow 티켓이 완료되면 ServiceNow에서 케이스를 업데이트할 수 있습니다. 또한 QRadar EDR, Carbon Black 또는 SentinelOne과 같은 EDR 솔루션을 요청하는 조치를 자동화하여 시스템을 다시 온라인 상태로 전환할 수 있습니다.
배운 교훈
보고서에 각 대응 및 관련하여 취해진 조치에 대한 내용이 문서화되어 있습니다. 인시던트 보고서에 케이스에 관련한 적절한 문서가 포함되어 있는지 확인합니다. 데이터 침해의 경우, 관련 규정을 검토하면, 조직이 관련 보고 일정을 준수할 수 있도록 해줍니다.
분석가는 단계를 검토하고 이슈가 되는 점들을 문서화하여, 향후 사고 대응에 준비를 합니다. 지금은 분석가가 백업 주기 변경과 같은 개선 사항을 문서화하여 권장하거나 향후 인시던트에 대비하여 플레이북에 추가해야 하는 수동 작업을 검토할 때 입니다.
보고서를 통해 사고 대응 프로세스를 개선할 수 있는 부분을 이해할 수 있습니다. 보안팀은 QRadar SOAR 플랫폼을 사용하여 "인시던트 보고서 생성"을 할 수 있습니다. 여기에서 분석가는 단일 또는 여러 인시던트에 대한 보고서를 생성할 수 있습니다. 표준 템플릿을 사용하여 보고서 형식을 지정하거나 특정 요구 사항에 맞게 사용자 정의할 수 있습니다.
이제 IBM을 통해 24시간 내내 실시간으로 전 세계 현황을 정확하게 파악할 수 있게 되었습니다. 모든 엔드포인트와 시스템을 파악할 수 있습니다. 그 덕분에 팀 간 협업이 훨씬 더 효율적으로 이루어졌습니다(" )라고 DDI의 최고 운영 책임자인 Robert Oh는 말합니다.
SOC가 효과적이려면 가장 시급한 보안 위험에 대한 대응의 우선순위를 정하는 능력이 탐지만큼 중요합니다. 아스카리 은행의 보안 운영 센터 책임자인 우마이르 샤킬(Umair Shakil," )은 QRadar 솔루션을 통해 우리 팀이 위협 환경에 훨씬 더 효과적으로 대응할 수 있게 되었다고 말합니다.
"Netox Trust 사이버 보안 서비스는 [고객의] 알려지지 않은 부분에 대한 가시성을 제공하며, 플레이북은 공격이 발생했을 때 대응하는 데 도움이 됩니다(" )."라고 Netox Oy의 사이버 보안 수석 매니저인 Marita Harju는 말합니다.