AionGuard

Splunk 기반
보안관제 업무 포탈

Splunk Enterprise Security와 SOAR를 연동하여 탐지·분석·대응·협업을 하나의 통합 인터페이스에서 운영하는 차세대 SoC 업무 플랫폼

통합
ES & SOAR & 티켓
60%
분석 시간 단축
ML
정오탐 판단

배경 및 필요성

보안관제 업무의 어려움

SoC 운영에서 직면하는 현실적 과제와 분산된 시스템 환경의 한계

현실

보안관제센터(SoC)는 SIEM 탐지, SOAR 대응, 티켓 시스템 등 여러 도구가 분리된 환경에서 운영됩니다. 이벤트 분석을 위해 화면을 전환하며 수동으로 정보를 정리해야 하고 이로 인해 상황 파악 지연과 분석 품질 저하가 반복됩니다.

SoC 운영의 핵심 과제

분석·대응 이력이 여러 시스템에 흩어져 사건을 하나의 흐름으로 파악하기 어렵습니다.

대표 문제 사례

  • 교대 근무·담당 변경 시 인수인계 품질 저하로 대응 지연 발생
  • 멀티테넌트 환경에서 SLA·티켓 관리 복잡도 증가
  • 정기/비정기 보고서가 수작업으로 작성돼 분석 시간이 부족함
01

분산된 운영 환경의 비효율

여러 시스템 간 전환으로 인한 정보 취합 지연

SIEM, SOAR, 티켓, 자산 시스템이 분리돼 있어 이벤트 분석 시 여러 화면을 오가며 판단 속도와 대응 민첩성이 떨어집니다.

02

협업·히스토리 관리의 한계

산재된 이력으로 인한 사건 흐름 파악 어려움

분석·대응 기록이 여러 도구에 흩어져 있어 사건 타임라인 재구성과 원인 파악이 어렵고 교대 근무 시 인수인계 품질도 저하됩니다.

03

수동 프로세스의 과도한 소모

티켓·보고 중심 수작업으로 인한 운영 부담

티켓 처리와 보고 작성이 자동화되어 있지 않아 반복적인 정리·기록 업무에 많은 시간이 들고 위협 분석에 투입할 리소스가 부족해집니다.

AionGuard 통합 보안관제 업무 포탈

ES & SOAR & 티켓을 하나로 연결하여 탐지부터 대응, 협업까지 통합 운영

AionGuard 운영 콘솔 – ES 이벤트, SOAR 대응, 티켓 관리를 한 화면에서 확인
01

ES 이벤트 탐지

Splunk Enterprise Security에서 위협을 탐지하고 인시던트를 자동 수집합니다.

02

SOAR 대응 실행

ES 이벤트를 기준으로 SOAR Playbook을 실행하고 대응 이력을 통합 관리합니다.

03

티켓 관리 및 협업

인시던트 티켓 접수, 결재 프로세스, 보고서 생성을 자동화하여 협업을 강화합니다.

통합 히스토리

탐지부터 대응까지 모든 이력을 통합 뷰로 제공하여 인시던트 전체 라이프사이클을 추적합니다.

멀티테넌트 관리

고객사별 독립적인 티켓 프로세스와 이력 관리로 MSSP 환경에 최적화된 운영 체계를 구축합니다.

자동 보고서

정기/비정기 보고서를 자동으로 생성하여 운영 관리 업무 시간을 80% 이상 절감합니다.

PPT 시너지 구현

People, Process, Technology를 하나로 연결하여 조직 전체가 업무를 효과적으로 협업하고 효율적으로 관리할 수 있는 시너지를 제공합니다.

모든 팀원이 전체 프로세스와 각각의 기여를 이해하고, 업무 프로세스를 자동화하거나 단순화하여 SoC 운영 효율을 극대화합니다.

통합 운영 환경

Splunk Enterprise Security와 SOAR를 연동하여 ES의 주요 이벤트를 기준으로 SoC 업무와 SOAR 처리 이력을 통합 운영합니다.

Splunk 플랫폼의 강력한 데이터 분석 역량을 유지하면서도 SoC에 최적화된 UX로 관제 담당자의 업무 효율을 극대화합니다.

AionGuard 주요 기능

SoC 운영을 위한 통합 업무 포탈

보안 상황판 (어택맵)

실시간 보안 위협을 시각화하여 공격 경로와 영향 범위를 한눈에 파악

보안 오버뷰

탐지 현황, 대응 현황, 주요 지표를 통합하여 전체 보안 상태 실시간 모니터링

인시던트 분석 및 티켓팅

ES의 인시던트를 자동 수집하여 신속한 조회 및 상세 정보 파악, 티켓 접수

멀티테넌트 티켓 관리

고객사별 티켓 프로세스 구성 및 맞춤형 결재 프로세스, SLA 관리 제공

ES & SOAR 통합 운영

SIEM의 탐지 이벤트 기준으로 SOAR Playbook 의사결정 및 이력 확인

조직 맞춤형 결재 프로세스

조직의 결재 라인 유연 구성 및 보안 이벤트 대응 승인 프로세스 자동화

통합 히스토리

탐지부터 대응까지 모든 이력을 통합 뷰로 제공하여 인시던트 전체 라이프사이클 추적

AI 기반 자동 정오탐 판단

지도학습 모델로 IPS, WAF 시그니처 정오탐 판별하여 관제 판단에 참조

자동 및 수동 관제 보고서

정기/비정기 보고서 자동 생성 및 수동 작성 기능으로 운영 관리 시간 절감

AionGuard 기대효과

SIEM과 SOAR에 대한 통합 운영 환경 구축

신속성

이벤트 1차 식별 정보 확인, 정형화된 드릴다운 분석, 신속한 티켓 배분

통합

SIEM 및 SOAR의 분리된 플랫폼에 대한 통합 운영 환경 제공

효율성

유연한 결재 프로세스, 정기·비정기 보고서 생성 용이, 모든 업무 이력 관리

편의성

다양한 관리 기능, Splunk와의 유연한 연계,
운영 KPI 제공

ES & SOAR & 티켓 통합 UX

하나의 인터페이스에서 탐지부터 대응, 티켓 관리, 결재까지 모든 업무를 처리하여 시스템 간 전환 시간 최소화

멀티테넌트 환경 지원

고객사별 독립적인 티켓 프로세스와 이력 관리로 MSSP 환경에 최적화된 운영 체계 구축

AI 정오탐 모델 적용

지도학습 기반 정오탐 판단 모델로 관제 담당자의 의사결정을 지원하고 분석 시간 단축

자동 보고서 생성

정기/비정기 보고서를 자동으로 생성하여 운영 관리 업무 시간을 80% 이상 절감

적용 시나리오

다양한 SoC 환경에서 검증된 솔루션

금융권 SoC

대형 금융사 통합 보안관제센터

도입 배경

Splunk ES와 SOAR를 각각 운영하면서 이벤트 분석과 대응 이력이 분산되어 담당자 교대 시 업무 인수인계가 어렵고 중복 조사가 빈번하게 발생. 수동 보고서 작성에 매일 2시간 이상 소요되어 실제 위협 분석 시간 부족

적용 효과

  • ✓ ES 이벤트와 SOAR 대응 이력을 통합 뷰로 제공하여 분석 시간 60% 단축
  • ✓ 티켓 시스템으로 업무 히스토리 자동 기록 및 인수인계 시간 80% 절감
  • ✓ 자동 보고서 생성으로 운영 관리 업무 시간 대폭 감소
  • ✓ AI 정오탐 판단 모델로 오탐 필터링 및 관제 품질 향상
MSSP 사업자

멀티테넌트 보안관제 서비스

도입 배경

10개 이상의 고객사를 대상으로 관제 서비스를 제공하면서 고객사별 티켓 관리와 SLA 추적이 복잡하고 각 고객사의 결재 프로세스가 달라 운영 표준화가 어려움

적용 효과

  • ✓ 고객사별 독립적인 티켓 프로세스 구성으로 맞춤형 서비스 제공
  • ✓ 멀티테넌트 환경에서 고객사별 이력 관리 및 SLA 자동 추적
  • ✓ 조직별 결재 라인 유연 구성으로 고객 요구사항 즉시 반영
  • ✓ 통합 대시보드로 전체 고객사 보안 현황 실시간 모니터링

AionGuard로
SoC 운영 효율을 극대화하세요

Splunk ES & SOAR의 강력한 분석 역량을 유지하면서
통합된 업무 포탈로 관제 담당자의 생산성을 높이세요