SOAR(Security Orchestration, Automation and Response)는 보안 도구를 통합·자동화하고, 인시던트 대응 플레이북을 실행해 SOC(보안 운영센터) 효율을 극대화하는 플랫폼이다.
SOAR vs SIEM 비교
| 항목 | SIEM | SOAR |
|---|
| 주 기능 | 로그 수집/분석/탐지 | 대응 자동화/오케스트레이션 |
| 출력 | 경보(Alert) | 자동화된 대응 액션 |
| 통합 | 로그 소스 중심 | API 기반 다양한 도구 |
| 예시 | Splunk SIEM, IBM QRadar | Palo Alto XSOAR, Splunk SOAR |
| 관계 | SIEM 경보 → SOAR 대응 | 상호 보완 |
플레이북 예시 (피싱 이메일 대응)
yaml
# XSOAR 플레이북 (의사코드)
playbook: 피싱_이메일_대응
trigger: 이메일_보안_경보
steps:
1_이메일_분석:
- 발신자 도메인 평판 조회 (VirusTotal API)
- 첨부파일 샌드박스 분석 (Any.run)
- URL 악성 여부 확인 (URLScan.io)
2_위협_판단:
condition:
악성_점수 >= 70:
→ 3_자동_차단 실행
악성_점수 30-69:
→ 4_분석가_검토 요청
악성_점수 < 30:
→ 6_종료 (정상 처리)
3_자동_차단:
- Exchange: 동일 발신자 이메일 모두 격리
- Firewall: 악성 URL/IP 차단 규칙 추가
- AD: 감염 의심 사용자 계정 비밀번호 초기화
- Jira: 인시던트 티켓 자동 생성
4_분석가_검토:
- Slack: 분석가에게 상세 정보 알림
- 30분 내 응답 없으면 3_자동_차단 실행
5_사후_처리:
- 영향받은 사용자 보안 교육 메일 발송
- 위협 인텔리전스 피드 업데이트
- SIEM에 새 탐지 규칙 추가
6_종료:
- 인시던트 로그 기록
- 지표 업데이트 (MTTR, 오탐률)
SOAR 주요 통합 도구
엔드포인트: CrowdStrike, Carbon Black, SentinelOne
네트워크: Firewall, IDS/IPS, WAF
위협 인텔: VirusTotal, Shodan, MISP
티켓: ServiceNow, Jira, PagerDuty
협업: Slack, Teams, Email
SIEM: Splunk, QRadar, Microsoft Sentinel
클라우드: AWS GuardDuty, Azure Defender
관련 문서
