분석 기반 보안 자동화 플랫폼 (SOAR)

Splunk Phantom

보안 대응 자동화를 뜻하는 SOAR(Security Orchestration, Automation and Response) 플랫폼인 Splunk Phantom은 다양한 소스로부터 보안 위협 데이터를 수집하고, 표준화된 워크플로우에 따라 사건 분석, 분류 및 처리를 자동으로 수행할 수 있도록 지원합니다.

보안 관리자 및 분석가의 기술 수준의 깊이와 관계 없이 보안 위협에 능동적으로 대응하는 시간을 단축할 수 있습니다.

특징 Features

  • 지능형 사이버 방어

    • 빠르게 진화하는 내/외부 위협에 능동적 대응
    • 분석 기반의 방식으로 대응하여 리스크 완화
  • 유연한 확장

    • 다양한 SIEM 제품(Splunk Enterprise Security, IBM Qradar, MicroFocus ArcSight)과 연동 가능
  • SOC(Security Operation Center) 자동화

    • 의사 결정 및 중요한 우선 순위 대응
    • 사고 대응을 위한 평균 해결 시간(MTTR) 감소
  • 유연한 커스터마이징

    • 사용자의 필요에 따른 다양한 대시보드 생성 및 수정
  • 행동 분석 기능 제공

    • 머신러닝을 사용하여 SecOps(Security Operation, 보안 운영)에 최적화
    • 위협 및 공격에 대한 조사 및 대응 능력 향상

기능 Functions

  • 자동화

    • 반복 작업의 자동화로 빠른 대응 (기존 수십 분, 수 초 내 해결)
    • 프리페치(Prefetch) 인텔리전스로 신속한 의사 결정을 지원
  • 협업 (Collaboration)

    • 내부 전문가의 집단 지식 활용 가능
    • 관심 아이템(이벤트 처리)을 업무의 연관자와 공유 및 대응
  • 케이스 관리

    • 정교한 위협 대응 관리
    • 케이스(위협 이벤트)별 자동화 대응
  • 이벤트 관리

    • 검증된 이벤트를 공식 케이스로 단계적 확대(Escalation) 가능
    • 관련성이 높은 이벤트부터 우선적 분류, 불필요한 이벤트 제거 기능

장점 Advantages

  • 정의된 프로세스(Playbook)을 재사용 가능

    • 다양한 Playbook 예제 제공
    • 사용한 Playbook를 재사용하여 효율성 향상
  • 보안 장비를 제어 할 수 있는 API지원

    • 225개 이상의 연동 앱과 1,200개 이상의 API 지원
  • 이벤트 수집 멀티 컨테이너 설정 지원

    • 부서별로 필요한 이벤트 컨테이너 생성 지원
  • Custom APP 개발 및 언어 지원

    • 상황에 맞는 Custom APP 개발 및 적용
    • 확장성이 좋은 Python 언어 지원
제 품문 의
top