All Work

SIEM 기반 통합 보안 운영 플랫폼

일 평균 수백만 건 규모의 보안 로그를 SIEM으로 모으고, 사용자·자산·조직 맥락, 탐지 정책, 협업 알림, AI 판단, 감사 증적까지 하나의 운영 모델로 연결한 통합 보안 플랫폼입니다.

SIEMSOCEnrichmentEvidence
Scale 10종 이상 데이터소스와 일 평균 수백만 건 이벤트를 운영 관점으로 통합
Context IP·호스트 이벤트를 사용자·부서·자산·위치·계정 상태 중심 판단으로 전환
Loop 탐지, AI 판단, 협업 알림, 증적 저장, 정책 튜닝이 이어지는 SOC 운영 루프
Case Blueprint

Security Operations Transformation

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 로그 저장소를 보안 운영 플랫폼으로 전환 lead
02 통합 운영 콘솔이 처리하는 일 product-console
03 운영 아키텍처 architecture
04 탐지 정책 개발 흐름 flow
05 AS-IS / TO-BE compare

로그 저장소를 보안 운영 플랫폼으로 전환

보안 이벤트는 많지만 대응자가 실제로 필요한 것은 이 이벤트가 누구의 어떤 장비에서, 어떤 업무 맥락으로 발생했는가입니다. 이 작업은 SIEM을 단순 검색 화면으로 두지 않고, 사용자·자산·조직 맥락과 탐지 정책, 협업 알림, AI 판단, 감사 증적이 이어지는 운영 플랫폼으로 만든 사례입니다.

Operating Unit SOC 운영 플랫폼

알림이 뜬 뒤 바로 판단하고 조치할 수 있도록 로그를 운영 언어로 바꿨습니다.

통합 운영 콘솔이 처리하는 일

여러 보안 도구의 이벤트를 하나의 화면으로 모으는 데서 끝내지 않고, 사용자 추적성, 자산 식별, 탐지 정책, AI 초동 판단, 협업 알림, 증적 보관까지 같은 흐름에서 처리하도록 구성했습니다.

Sources 10+ domains
Volume Millions/day
Loop Detect → Judge → Act
analysis run
Collect

EDR, WAF, IAM/SSO, SWG, DLP, Cloud, 감사 로그를 운영 목적별로 수집

통합
Enrich

사용자, 부서, 법인, 장비, 내부 IP, 근무 위치, 계정 상태를 lookup으로 자동 부여

맥락화
Detect

웹공격 급증, 다중 호스트 스캐닝, 계정 탈취, IOC 매칭, 원격제어, DLP 이벤트 탐지

정책화
Judge

고위험 이벤트와 반복 알림에는 AI 판단을 붙여 정오탐, 위험 요소, 권장 조치를 생성

판단
Operate

협업 알림, 이슈 이력, 대시보드, summary index로 조치와 증적을 반복 운영

운영
Design principle Log → Context → Decision

원시 로그를 그대로 보여주는 것이 아니라, 대응자가 바로 움직일 수 있는 사용자·자산·위험도·조치 기준으로 재구성했습니다.

운영 아키텍처

01 Data 보안 도메인 통합

엔드포인트, 인증, 웹방화벽, 프록시, 정보유출, 클라우드, HR/감사, 위협 인텔리전스, AI 사용 로그를 목적별로 수집합니다.

02 Identity 사용자 추적성

로그마다 다른 식별자를 사용자, 부서, 직급, 법인, 근무지 기준으로 맞춰 어떤 이벤트든 사람 중심으로 해석합니다.

03 Asset 자산 맥락

호스트, IP, EDR 디바이스, 내부망 접속, 사무실 위치 정보를 연결해 이벤트의 영향 범위를 빠르게 좁힙니다.

04 Detection 정책형 탐지

단순 건수 알림이 아니라 베이스라인, suppress, enrichment, 조치 가이드가 붙은 운영 가능한 탐지 정책으로 만듭니다.

05 Evidence 증적과 환류

탐지 결과를 협업 알림, summary index, 대시보드, 정책 문서로 남겨 감사와 개선에 다시 사용할 수 있게 합니다.

탐지 정책 개발 흐름

01 Sample

로그 샘플을 확인해 필드 구조, 노이즈, 실제 공격/정상 패턴을 먼저 분리

02 Model

사용자·자산·조직 lookup과 데이터 모델 가속 여부를 결정

03 Simulate

24시간~7일 범위로 탐지 결과를 시뮬레이션해 임계값과 오탐 비율 검증

04 Notify

알림에는 대상, 근거, 상위 IP/사용자, suppress, 조치 가이드를 포함

05 Operate

운영 후 오탐, 누락, 반복 알림을 다시 탐지 기준과 대시보드에 반영

AS-IS / TO-BE

AS-IS 솔루션별 콘솔 확인

각 보안 도구의 로그를 따로 보고, 사용자·자산·부서 맥락과 조치 이력은 매번 수동으로 붙여야 했습니다.

TO-BE 맥락 기반 SOC 운영

탐지 이벤트가 발생하면 사용자, 장비, 조직, 위험도, 알림, 증적이 한 번에 이어지는 운영 모델로 바꿨습니다.

운영 도메인

01 SOC / 침해대응

웹공격 급증, 다중 호스트 스캐닝, 계정 탈취 의심, IOC 매칭, 고위험 엔드포인트 이벤트를 운영합니다.

02 AI for Security

보안 알림과 파일 전송 이벤트를 AI가 1차 판단해 위험도, 근거, 권장 조치를 붙입니다.

03 Security for AX

AI 서비스 사용, 프롬프트 민감정보 입력, 능동형 AI 실행 행위를 같은 플랫폼에서 관찰합니다.

04 Audit / Compliance

DLP, 원격제어, HR 활동, 개인정보 접근, 인증 증적을 사용자·조직 맥락으로 관리합니다.

05 Threat Intelligence

악성 IP, 도메인, URL IOC와 실제 트래픽을 매칭하고 일일 알림과 조치 가이드로 연결합니다.

06 Asset Inventory

사용자, 부서, 디바이스, 내부 IP, 외부 접속 위치를 자동 갱신해 모든 탐지의 공통 기준으로 씁니다.

좋은 탐지로 인정한 기준

탐지 룰은 잡히는 건수가 많다고 좋은 것이 아니라, 운영자가 봤을 때 실제 확인할 가치가 있고 조치 경로가 분명해야 합니다.

Signal 공격/위반 가능성을 설명할 수 있는 로그 조합
Noise 헬스체크, 정상 업무, 반복 알림을 줄이는 제외·suppress 기준
Context 사용자·자산·조직·위치·계정 상태 enrichment
Action 알림 수신자가 바로 확인할 수 있는 조치 가이드
Block Surge

도메인별 7일 평균과 표준편차를 기준으로 웹공격 급증을 탐지합니다.

Multi-host Scan

동일 공격원이 여러 호스트를 스캔하는 패턴을 tstats 기반으로 빠르게 식별합니다.

Account Takeover

실패 후 성공, 물리적으로 불가능한 위치 이동처럼 계정 탈취 가능성이 높은 조합을 봅니다.

IOC Match

위협 인텔리전스 지표와 실제 트래픽을 매칭하고 클릭 방지·조치 가이드까지 알림에 포함합니다.

운영 구조의 차별점

이 작업의 핵심은 SIEM을 잘 다뤘다는 수준이 아니라, 보안 조직이 반복해서 쓸 수 있는 공통 운영 언어를 만들었다는 점입니다. 원시 로그, 사용자 맥락, 탐지 정책, 협업 알림, 감사 증적이 같은 흐름으로 움직이면 SOC의 판단 속도와 설명력이 동시에 올라갑니다.