분석 기반 보안 자동화 플랫폼 (SOAR)
Splunk Phantom
보안 대응 자동화를 뜻하는 SOAR(Security Orchestration, Automation and Response) 플랫폼인 Splunk Phantom은 다양한 소스로부터 보안 위협 데이터를 수집하고, 표준화된 워크플로우에 따라 사건 분석, 분류 및 처리를 자동으로 수행할 수 있도록 지원합니다.
보안 관리자 및 분석가의 기술 수준의 깊이와 관계 없이 보안 위협에 능동적으로 대응하는 시간을 단축할 수 있습니다.
특징 Features
지능형 사이버 방어
- 빠르게 진화하는 내/외부 위협에 능동적 대응
- 분석 기반의 방식으로 대응하여 리스크 완화
유연한 확장
- 다양한 SIEM 제품(Splunk Enterprise Security, IBM Qradar, MicroFocus ArcSight)과 연동 가능
SOC(Security Operation Center) 자동화
- 의사 결정 및 중요한 우선 순위 대응
- 사고 대응을 위한 평균 해결 시간(MTTR) 감소
유연한 커스터마이징
- 사용자의 필요에 따른 다양한 대시보드 생성 및 수정
행동 분석 기능 제공
- 머신러닝을 사용하여 SecOps(Security Operation, 보안 운영)에 최적화
- 위협 및 공격에 대한 조사 및 대응 능력 향상
기능 Functions
자동화
- 반복 작업의 자동화로 빠른 대응 (기존 수십 분, 수 초 내 해결)
- 프리페치(Prefetch) 인텔리전스로 신속한 의사 결정을 지원
협업 (Collaboration)
- 내부 전문가의 집단 지식 활용 가능
- 관심 아이템(이벤트 처리)을 업무의 연관자와 공유 및 대응
케이스 관리
- 정교한 위협 대응 관리
- 케이스(위협 이벤트)별 자동화 대응
이벤트 관리
- 검증된 이벤트를 공식 케이스로 단계적 확대(Escalation) 가능
- 관련성이 높은 이벤트부터 우선적 분류, 불필요한 이벤트 제거 기능
장점 Advantages
정의된 프로세스(Playbook)을 재사용 가능
- 다양한 Playbook 예제 제공
- 사용한 Playbook를 재사용하여 효율성 향상
보안 장비를 제어 할 수 있는 API지원
- 225개 이상의 연동 앱과 1,200개 이상의 API 지원
이벤트 수집 멀티 컨테이너 설정 지원
- 부서별로 필요한 이벤트 컨테이너 생성 지원
Custom APP 개발 및 언어 지원
- 상황에 맞는 Custom APP 개발 및 적용
- 확장성이 좋은 Python 언어 지원