Splunk Phantom : 한컴MDS

솔루션

분석 기반 보안 자동화 플랫폼 (SOAR)

Splunk Phantom

보안 대응 자동화를 뜻하는 SOAR(Security Orchestration, Automation and Response) 플랫폼인 Splunk Phantom은 다양한 소스로부터 보안 위협 데이터를 수집하고, 표준화된 워크플로우에 따라 사건 분석, 분류 및 처리를 자동으로 수행할 수 있도록 지원합니다.

보안 관리자 및 분석가의 기술 수준의 깊이와 관계 없이 보안 위협에 능동적으로 대응하는 시간을 단축할 수 있습니다.

특징 Features

  • 지능형 사이버 방어

    • 빠르게 진화하는 내/외부 위협에 능동적 대응
    • 분석 기반의 방식으로 대응하여 리스크 완화
  • 유연한 확장

    • 다양한 SIEM 제품(Splunk Enterprise Security, IBM Qradar, MicroFocus ArcSight)과 연동 가능
  • SOC(Security Operation Center) 자동화

    • 의사 결정 및 중요한 우선 순위 대응
    • 사고 대응을 위한 평균 해결 시간(MTTR) 감소
  • 유연한 커스터마이징

    • 사용자의 필요에 따른 다양한 대시보드 생성 및 수정
  • 행동 분석 기능 제공

    • 머신러닝을 사용하여 SecOps(Security Operation, 보안 운영)에 최적화
    • 위협 및 공격에 대한 조사 및 대응 능력 향상

기능 Functions

  • 자동화

    • 반복 작업의 자동화로 빠른 대응 (기존 수십 분, 수 초 내 해결)
    • 프리페치(Prefetch) 인텔리전스로 신속한 의사 결정을 지원
  • 협업 (Collaboration)

    • 내부 전문가의 집단 지식 활용 가능
    • 관심 아이템(이벤트 처리)을 업무의 연관자와 공유 및 대응
  • 케이스 관리

    • 정교한 위협 대응 관리
    • 케이스(위협 이벤트)별 자동화 대응
  • 이벤트 관리

    • 검증된 이벤트를 공식 케이스로 단계적 확대(Escalation) 가능
    • 관련성이 높은 이벤트부터 우선적 분류, 불필요한 이벤트 제거 기능

장점 Advantages

  • 정의된 프로세스(Playbook)을 재사용 가능

    • 다양한 Playbook 예제 제공
    • 사용한 Playbook를 재사용하여 효율성 향상
  • 보안 장비를 제어 할 수 있는 API지원

    • 225개 이상의 연동 앱과 1,200개 이상의 API 지원
  • 이벤트 수집 멀티 컨테이너 설정 지원

    • 부서별로 필요한 이벤트 컨테이너 생성 지원
  • Custom APP 개발 및 언어 지원

    • 상황에 맞는 Custom APP 개발 및 적용
    • 확장성이 좋은 Python 언어 지원
제 품문 의
top