보안 쪽 일을 하면서 가장 많이 받은 질문 중 하나가 "SOAR가 뭔데요?"였다. SIEM은 많이들 들어봤는데 SOAR는 생소한 경우가 많다. 근데 실제로 써보면 "이게 없으면 어떻게 했지?"라는 생각이 들 정도로 실무에서 체감이 크다. 이 글에서는 SOAR가 뭔지, 왜 필요한지, 어떻게 동작하는지를 처음 접하는 사람도 이해할 수 있게 정리해보려 한다. …
이 글은 SOAR란 무엇인가? 편에서 이어집니다. 플레이북이란? SOAR에서 플레이북(Playbook) 은 보안 이벤트 발생 시 자동으로 실행되는 대응 절차의 자동화 구현체입니다. 기존에 분석가가 머릿속에 갖고 있던 대응 절차를 생각해 봅시다. "피싱 메일이 신고되면 → 첨부파일 해시 추출 → VirusTotal 조회 → 악성이면 발신자 차단 → Jira…