SIEM vs SOAR in OCI

테크넷 마스터 김재벌 입니다.

 

이글을 포스팅하는 현재는 한국 시간 23년 12월 24일 크리스마스 이브 새벽 3시 50분쯤 되네요.

 

저는 23년 12월 19일에 필리핀 세부에서 큰 사고를 당해서 현재 필리핀 세부의 UCMED라는 병원의 중환자실에 머물고 있습니다..ㅜㅜ

 

5일째 중환자실인데, 아직 일반 병동으로 이동은 못하고 있네요. 산소호흡기까지 거추장스럽게 하고 있으니..ㅠ

 

정말 죽음 앞에서 간신히 살아 돌아왔는데, 병원에 누워서 가만히 있을려니까 더 힘들어서 간단하게 포스팅이나 해 보려고 노트북을 켜서 작업중입니다.

 

제가 포스팅 하려는 건 대단한 것들은 아니고 외부에 오픈된 여러 자료들을 바탕으로 간단하게 소개를 하려고 합니다.

 

많은 분들이 아시다시피 인공지능과 클라우드가 대세인 세상이 오다 보니,  클라우드 기반 , 인공지능 기반 기술이 폭발적으로 증가하고 있습니다.

 

게다가 사이버 위협은 더욱 더 증가하고 있구요.

 

그래서 여러 개념과 제품들이 등장하기 시작했는데, SIEM 과 SOAR에 대해서 잘 나와 있는 해외 포스팅을 보고 한번 같이 정리해보려고 작성을 시작했습니다.

 

잘 알다시피 대부분 SIEM은 시각화 하는데 초점을 맞추고 있고, SOAR는 자동화 대응에 맞추고 있습니다.

 

끊임없이 진화하는 사이버보안 영역에서 조직은 수많은 위협으로 부터 디지털 자산을 보호하는데 더욱 더 어려움을 겪고 있습니다. 

 

클라우드의 복잡성을 생각해 보면 더욱 더 디지털 자산에 대한 보호는 더더욱 어려워 지고 있고, 한번 발생한 피해는 나날이 커지고 있습니다.

 

이런 여러 문제를 해결할 방어전략중에 SIEM (보안 정보 및 이벤트 관리)와 SOAR (보안 오케스트레이션, 자동화 및 대응)이 효과적인 대응을 위한 제품으로 널리 소개 되고 있습니다.

 

다만, 이 기능들이 서로 다른 목적으로 제공되고 인프라를 보호함에 있어 특징과 기능이 있기에 이를 간략하게 언급해 보고자 합니다.

 

OCI(Oracle Cloud Infrastructure) 역시 SIEM 기능은 기본 제공되고 다양한 3rd party 제품을 통해 구현 되고 제공 됩니다.

 

 

결국 SIEM는 보안정보 관리 및 이벤트 관리를 위해 조직에서 생성된 전반적인 보안 경고에 대한 실시간 분석을 제공하고, 이를 시작가화 하여 비정상적인 활동과 잠재적 보안 사고를 탐지 할 수 있도록 하고, SOAR는 기술을 통합, 프로세스를 간소화 하여 보안사고 대응을 자동화 하여 수동 개입을 줄여 효율성을 확보하는데 있습니다.

 

그렇다면 OCI에서는 이를 어떻게 제공할까요?

 

OCI에서는 OCI Soar 라는 서비스가 제공 됩니다.

https://www.oracle.com/a/ocom/docs/consulting/oracle-soar-brochure.pdf

 

 

 

OCI에서는 SIEM 기능을 Oracle Security Monitoring and Analysis라는 서비스로 제공하고 이벤트 모니터링 및 분석을 제공 합니다.

https://docs.oracle.com/en/cloud/paas/management-cloud/omsma/using-oracle-security-monitoring-and-analytics.pdf

 

물론, SIEM 경우 워낙 좋은 제품들이 많아서 고객, 사용자의 선택에 따라 Splunk 부터 ELK 등 다양한 제품군을 통해 구현할 수 있을 것입니다.

 

하지만, SOAR 제품은 딱히 떠오르진 않네요. 특히, 클라우드에서 클라우드의 특성을 고려한 SOAR를 적용하려면 아무래도 합이 잘 맞아야 할텐데요. 결국은 SIEM은 다양한 기능과 확장성을 가진 제품군을 선택할 수 있지만, SOAR는 잘못된 구성으로 인해 발생한 리스크를 고려하면 각 CSP 등에서 제공하는 제품을 써야 리스크를 줄일 수 있을 것으로 보입니다.

 

그럼 간략하나만 도움이 되셨기를...

 

필리핀 세부 UCMed 중환자실에서...