earticle

영어

As cloud migration becomes more widespread, existing security operations centers are being reorganized from manual processes to real-time automated response. However, many challenges remain in reliably detecting and responding to new or modified threats, both new and existing ones. Therefore, this paper proposes an end-to-end cloud-based intelligent SOC to address the challenges of detecting and responding to new and modified threats in existing SOCs. The proposed SOC is designed as a continuous pipeline of monitoring and preprocessing, detection and judgment, response and reporting, and remediation. The intelligent SOC centrally collects signals across accounts and regions during the collection phase. The preprocessing phase performs OCSF-based normalization and additional contextualization, and the storage phase stores these signals in a lake for long-term storage. The detection and judgment phase combines rule- and behavior-based AI models to generate severity ratings, confidence ratings, and recommended playbooks. The response phase consistently executes preemptive inspection, quarantine and blocking, notification, and verification using state-machinebased playbooks. Through this, we ensured the safety and reproducibility of automation with guardrails, tracked KPIs using visualization dashboards and timelines, preserved traces, and continuously updated rules, AI models, and playbooks during the post-verification improvement phase, and enhanced explainability by mapping to MITRE ATT&CK. The proposed intelligent SOC outperformed existing SOCs in both quantitative indicators such as speed and accuracy, false positives and alerts, automation and reliability, and qualitative indicators such as visibility and explainability, safety and scalability, workload and standardization. This is the result of organically working together by combining OCSF-based data quality, hybrid detection using rules and sequence ML, playbook state machine automation, and guardrails. This means that the proposed intelligent SOC is a security operations system that quickly identifies and accurately assesses security threats, and safely and automatically defends against them. Although there are some differences at the practical level, it has been demonstrated that it can be implemented in all clouds by utilizing the services provided by major cloud services.

한국어

클라우드 전환이 보편화됨으로써 기존 보안 운영센터는 수작업 중심에서 실시간 자동 대응 중심으로 재편이 진행되고 있지만, 새로운 보안 위협이나 기존의 위협을 변형한 위협에는 대체적으로 안정적으로 탐지하고 실시간으로 대응하는 데에는 많은 문제점이 존재하고 있다. 따라서 본 논문에서는 기존 SOC의 신종과 변종 탐지와 대응 문제점을 해결하기 위해 엔드투엔드 클라우드 기반 지능형 SOC을 제안하고, 제 안한 SOC은 모니터링과 전처리, 탐지와 판단, 대응과 보고, 개선의 연속 파이프라인으로 설계하였다. 지능형 SOC의 수집 단계에서는 계정과 리전 전반의 신호를 중앙 수집하고, 전처리 단계에서는 OCSF 기반 정규화와 추가 컨텍스트 부여를 수행하고 저장 단계에서는 이를 레이크로 장기 보관한다. 탐지와 판단 단계에서는 규칙과 행위 기반 AI 모델을 결합해 심각도와 신뢰도, 권고 플레이북을 산출하며, 대응 단계에서는 상태 머신형 플레이북으로 사전 점검, 격리와 차단, 통지, 검증을 일관되게 실행한다. 이를 통해 가드레일로 자동화의 안전성과 재현 가능성을 확보하고 시각화로 대시보드와 타임라인을 사용하여 KPI를 추적하며 증적을 보존하며 사후 검증 개선 단계에서는 규칙과 AI 모델, 플레이북 을 지속 업데이트하고 MITRE ATT&CK에 매핑해 설명 가능성을 높였다. 제안한 지능형 SOC은 속도와 정확도, 오탐과 알림, 자동화와 신뢰 성과 같은 정량 지표와 가시성과 설명 가능성, 안전성과 확장성, 워크로드와 표준화와 같은 정성 지표 모두에서 기존 SOC에 대비 성능이 좋음 을 보였다. 이는 OCSF 기반 데이터 품질과 규칙과 시퀀스 ML의 하이브리드 탐지, 플레이북 상태머신 자동화와 가드레일을 결합하여 유기적 으로 연계해서 작동한 결과이다. 이는 제안한 지능형 SOC은 보안 위협을 빨리 찾고 정확히 판단하며 안전하게 자동으로 방어하는 보안 운영 운영 체계로 실무 수준에서 약간의 차이는 있지만 주요 클라우드 서비스에서 제공되고 있는 서비스를 활용하면 각 클라우드에서 모두 구현할 수 있음을 보여주었다.