XDR, EDR, SIEM, SOAR 보안 모델

작성일: 2024년 5월 20일

 

 

XDR(eXtended Detection and Response)을 짧게 요약해보면, 

보안 위협(공격)이 될만한 모든 정보(데이터)를 수집해서
위협(공격)을 빠르게 탐지하고 대응하는 보안 모델

 

 

참고:
XDR(eXtended Detection and Response)는 보안 제품군, 보안 모델, 보안 컨셉 정도로만 인지하고 넘어가는 것이 좋다.
(학술적으로, 기술적으로 표준이 되거나 기준이 있지 않다는 뜻)

 

 

 

XDR을 간단하게 표현하면,

해커가 공격할 만한 부분(PC, 파일 공유 서버, 웹서버, 인사 DB 서버, Source Code Repository, Email 서버, Firewall VPN 등 네트워크 장비, 클라우드 서비스 등)을 모두 찾아보고, 이런 공격 대상이 될만한 부분에서 얻을 수 있는 데이터(예: 로그, 이벤트)를 종합적으로 분석해서 해커의 공격을 탐지하고, 공격을 막기 위한 대응책을 가르킨다.

그러니까 “XDR 시스템”이라면, 위에서 설명한 해커의 공격을 탐지하고 막기 위한 대응 방안을 가진 시스템이라고 할 수 있다.

 

 

 

XDR 동작 단계 (3단계 동작) [그림 참조: spiceworks]

 

 

 

XDR 보안 모델 [그림 참조: Trendmicro]

 

 

 

기존의 보안 모델보다 XDR이 강조하는 것은

• 각 보안 장비의 로그, 경고 데이터를 따로 분석하는게 아니고,
• 다방면의 정보, 데이터를 모아서 종합적인 판단을 통해 해커의 공격인지를 판단한다.

위 설명이 말로 표현하면 쉽지만, 현업에서 일해보면 보안 제품 제조사가 다르고,
보안 담당자도 제각각 다르다보니 실제로는 꿈같은 얘기이다.
즉, 통합이라는 표현이 들어간 시스템은 쉽게 구현되고 운영되는게 아니다.

 

 

 

XDR이 공격 탐지 및 대응하기 위한 구성 요소(Features) [그림 참조: spiceworks]

 

 

해커가 공격하는지 여부를 확인하기 위해, XDR 보안 모델은 아래와 같은 데이터를 수집

여기에 열거된 것 외에도 수집할 수 있는 것들은 다 수집하면 된다. (다다익선. 많으면 많을 수록 좋다)

• Network IP 5 Tuple (Source IP address, Destination IP address, Source port, Destination port. Protocol)
• Rx, Tx byte (사이즈, 용량)
• Rx, Tx packet count
• Session 유지 시간
• Network application log data(DNS, HTTP, HTTPS, DHCP, …)
• User 정보
• 단말(PC)의 프로세스 정보
• AD(Active Directory) 같은 조직 구성 정보
• 파일 생성, 삭제, 변경 정보
• 파일의 Hash 값, 경로값
• PC의 Registry 변경 정보
• USB 이동 저장 장치의 마운트 이벤트
• PC의 로그 조작 이벤트
• PC 및 Network node의 host name, MAC address, OS 정보

 

 

XDR은 위의 정보를 수집해서 분석하면, 해커가 공격하는지 알 수 있다. (탐지, Detection)

즉, 각 정보 요소간에 상관 관계(Correlation Analysis)를 따져보고, 해커의 공격 시도가 있는지 판단한다는 뜻이다.

그리고 XDR은 해커의 공격이라고 의심되면, 해당 공격 시도를 차단한다. (대응, Response)

 

 

XDR은 다른 보안 모델과 뭐가 다른가?

EDR(Endpoint Detection and Response)

EDR은 Anti-Virus, Data Encryption, IPS 기능을 이용하여 공격을 차단하는 Feature와 단말의 행위를 수집하여 해커의 위협을 탐지하고 대응하는 보안 모델이다.

XDR보다 기능이 협소하다. (즉, 분석이 종합적이지 않다는 뜻)

 

SIEM(Security Information and Event Management)

각 Device의 로그, 이벤트 데이터를 통합하여 수집하고 보관하고, 이 로그 및 이벤트 데이터를 분석하여 공격을 탐지하는 보안 모델이다.

XDR보다 기능이 협소하다.

 

SOAR(Security Orchestration and Automation and Response)

보안 노드간에 API로 연동하여 통합적으로 운영하는 보안 모델이다.

개인 의견: 
‘Orchestration, Automation’이란 표현이 들어가면, 막강 천하무적 제품이 된다.
뭐… 이름이 이렇게 되어 있는데 설명이 더 필요할까?
영업 담당자가 제품 판매의 끝물에 오면, "Orchestration / 효율적 / 통합 / 자동화" 같은 표현을 쓴다.
즉, 그 시장은 Red Ocean~ 시장 확장의 될만큼 되서 더 확장하기 어려운 환경이라는 뜻.
떠오르는 시장은 이런 화려한 수식어가 붙지 않는다.

 

 

 

위에서 언급한 XDR, EDR, SOAR, SIEM의 Feature 관계를 그림으로 표현하면 아래와 같다.

XDR, EDR, SOAR, SIEM의 Feature 포함 관계 [그림 참조: Airbus]

 

위 그림에 대한 설명은 아래 문서(링크)를 참고.

  XDR, EDR, SOAR, SIEM 설명 문서 링크

 

---