SOAR 직접 운영 경험 없음 인정하고 경보 수신·플레이북 실행·대응 결과 검토 흐름 이해 공유결
SOAR 시스템을 직접 운영한 경험은 아직 없습니다. 다만 SOAR가 어떻게 작동하는지 공부한 내용을 바탕으로 답하겠습니다.
SOAR의 핵심 흐름은 경보 수신 → 플레이북 실행 → 결과 검토 세 단계입니다. SIEM에서 이상 이벤트가 탐지되면 SOAR에 경보가 들어오고, 이벤트 유형에 맞는 플레이북이 자동으로 실행됩니다. IP 차단이나 계정 잠금 같은 초동 대응이 자동화되면 분석가가 더 복잡한 판단에 집중할 수 있습니다.
두 번째로 이해하는 것은 플레이북 설계의 중요성입니다. 자동화가 잘못 설계되면 정상 트래픽을 차단하거나 중요한 이벤트를 놓칠 수 있습니다. 초기에는 자동화 범위를 좁게 잡고, 효과가 검증된 후에 확장하는 것이 안전합니다.
대응 결과를 추적하는 것도 중요합니다. 플레이북이 실행된 건수, 자동 대응 성공률, 오탐 비율을 기록하면 시스템 성능을 개선하는 데이터가 됩니다.