KYRA MDR에는 일반적인 인시던트 대응 워크플로우를 자동화하는 12개의 내장 SOAR(Security Orchestration, Automation and Response) 플레이북이 포함되어 있습니다. 각 플레이북은 자동화된 조치와 가이드 기반 수동 단계를 결합하여 분석가가 통제권을 유지하면서도 대응 시간을 단축합니다.
플레이북 동작 방식
- 트리거 — 탐지 규칙 또는 AI 에이전트가 플레이북의 트리거 조건에 일치하는 위협을 식별합니다
- 자동 조치 — 플랫폼이 사전 정의된 격리 및 보강 단계를 즉시 실행합니다
- 분석가 검토 — 배정된 분석가가 자동 조치를 검토하고 가이드 기반 수동 단계를 수행합니다
- 해결 — 분석가가 발견 사항과 복구 조치를 문서화하여 인시던트를 종료합니다
플레이북은 MDR 요금제 이상에서 사용 가능합니다. FREE 요금제 고객은 알림만 수신하고 자동 대응은 제공되지 않습니다.
내장 플레이북
1. 랜섬웨어 대응
| 항목 | 상세 |
|---|
| 트리거 | 파일 암호화 패턴 탐지 (대량 파일 이름 변경, 알려진 랜섬웨어 확장자, 섀도 카피 삭제) |
| 자동 조치 | 감염된 엔드포인트를 네트워크에서 격리; 현재 디스크 상태 스냅샷; 소스 호스트에서 SMB/RDP 측면 이동 차단; SOC 팀 알림 |
| 수동 단계 | 랜섬웨어 변종 및 암호화 범위 식별; 환자 제로 및 초기 접근 벡터 확인; 백업 무결성 평가; 클린 백업에서 복원; 데이터 노출이 의심되면 경영진 및 법무 보고 |
2. 무차별 대입 공격 대응
| 항목 | 상세 |
|---|
| 트리거 | 5분 내 단일 계정에 10회 이상 로그인 실패, 또는 한 소스에서 여러 계정에 50회 이상 실패 |
| 자동 조치 | 소스 IP를 방화벽에서 임시 차단; 대상 계정 잠금; 소스 IP 위협 인텔리전스 보강; 타임라인이 포함된 인시던트 생성 |
| 수동 단계 | 무차별 대입 후 로그인 성공 여부 확인; 크레덴셜 스터핑 확인 (여러 계정 대상); 소스 IP 평판 및 지리 위치 확인; 손상된 자격 증명 재설정; 악성 소스는 영구 차단 |
3. 피싱 대응
| 항목 | 상세 |
|---|
| 트리거 | 사용자 신고 피싱 이메일 또는 이메일 보안 게이트웨이의 악성 링크/첨부 파일 탐지 |
| 자동 조치 | URL 및 첨부 파일 해시 추출; 위협 인텔리전스에서 IOC 일치 조회; 동일 메시지 수신자 메일박스 검색; 발신 도메인 차단 |
| 수동 단계 | 악의적 의도 확인 (마케팅 이메일 오탐 아닌지); 링크 클릭 또는 첨부 파일 열람 사용자 식별; 영향 받은 사용자 자격 증명 재설정; 엔드포인트 페이로드 실행 확인; 이메일 필터 규칙 업데이트 |
4. 자격 증명 유출
| 항목 | 상세 |
|---|
| 트리거 | 불가능한 이동 로그인 (짧은 시간에 지리적으로 먼 위치에서 동일 계정 접근), 또는 자격 증명 덤프 공개 후 알려진 악성 IP에서의 로그인 |
| 자동 조치 | 영향 받은 계정 세션 강제 종료; MFA 재등록 요구; 소스 IP 차단; 의심 시점부터의 계정 활동 타임라인 생성 |
| 수동 단계 | 유출된 계정의 모든 활동 검토; 새로운 메일 전달 규칙, OAuth 앱 권한, API 키 생성 확인; 측면 이동 여부 확인; 자격 증명 재설정 및 활성 세션 해지; 사용자 통지 |
5. 측면 이동
| 항목 | 상세 |
|---|
| 트리거 | Pass-the-hash, Pass-the-ticket, 또는 기준선을 벗어난 비정상 RDP/SMB/WinRM 연결 |
| 자동 조치 | 소스 호스트 격리; 영향 받은 호스트 쌍 간 통신 차단; 네트워크 플로우 데이터 캡처; MITRE ATT&CK 기법 매핑 (T1021, T1550) |
| 수동 단계 | 최초 침해 지점 식별; 전체 측면 이동 범위 매핑; 접근된 각 호스트의 지속성 메커니즘 확인; 자격 증명 노출 범위 확인; 필요 시 침해된 호스트 재구축 |
6. 데이터 유출
| 항목 | 상세 |
|---|
| 트리거 | 비정상 아웃바운드 데이터량 (기준선 2배 이상), DNS 터널링 패턴, 또는 클라우드 스토리지/붙여넣기 사이트로의 대량 업로드 |
| 자동 조치 | 소스 호스트의 아웃바운드 트래픽 제한; 의심 플로우 전체 패킷 캡처; 대상 IP/도메인 차단; 데이터 보호팀 알림 |
| 수동 단계 | 전송된 데이터 식별 (분류 등급); 유출된 총 볼륨 확인; 유출 전 데이터 암호화 여부 확인; 규제 통지 요건 평가 (GDPR, ISMS-P); 법적 조치를 위한 증거 보전 |
7. 내부자 위협
| 항목 | 상세 |
|---|
| 트리거 | 인증된 사용자의 비정상 데이터 접근 패턴 (역할 외 파일 접근, 대량 다운로드, 이력과 불일치하는 업무 외 시간 활동) |
| 자동 조치 | 해당 사용자의 향상된 로깅 활성화; 현재 접근 권한 스냅샷; 행동 타임라인 생성; 보안 관리자에게 알림 (사용자에게는 알리지 않음) |
| 수동 단계 | HR 이벤트와 상관관계 (사직, 성과 문제); 데이터 접근 범위 및 민감도 검토; 승인되었지만 비정상인 활동인지 확인; 대면 전 법무/HR과 조율; 증거 관리 체인 보전 |
8. 스푸핑 탐지
| 항목 | 상세 |
|---|
| 트리거 | NDR 센서가 ARP 스푸핑, DNS 스푸핑 또는 IP 스푸핑 탐지 |
| 자동 조치 | 스위치/방화벽에서 스푸핑 소스 차단; 네트워크 운영팀 알림; 네트워크 포렌식 데이터 캡처; 스푸핑된 응답을 수신한 영향 호스트 식별 |
| 수동 단계 | 공격자의 목적 확인 (MITM, 자격 증명 캡처, 리다이렉트); 영향 호스트의 DNS 캐시 무결성 확인; 스푸핑 기간 동안 데이터 가로채기 확인; 영향 세그먼트의 DNS 캐시 및 ARP 테이블 플러시; 영구 완화 조치 구현 (DAI, DNSSEC) |
9. DDoS 완화
| 항목 | 상세 |
|---|
| 트리거 | 트래픽 볼륨이 기준선 5배 초과, SYN 플러드 탐지, 또는 애플리케이션 계층 요청 속도가 용량 임계값 초과 |
| 자동 조치 | 속도 제한 규칙 활성화; 업스트림 DDoS 스크러빙 활성화 (설정된 경우); 상위 공격 소스 IP 차단; 인프라 용량 확장; 운영팀 알림 |
| 수동 단계 | 공격 유형 분류 (볼류메트릭, 프로토콜, 애플리케이션); 필요시 ISP 또는 CDN 제공업체의 업스트림 필터링 요청; 대상 애플리케이션 취약점 분석; 애플리케이션별 완화 조치 구현; 공격 후 용량 검토 |
10. APT 대응
| 항목 | 상세 |
|---|
| 트리거 | 동일 소스에서 캠페인 기간 내 여러 MITRE ATT&CK 기법 관찰, 또는 알려진 APT IOC와의 위협 인텔 일치 |
| 자동 조치 | 인시던트를 크리티컬로 상향; 모든 네트워크 세그먼트에 향상된 모니터링 활성화; 알려진 캠페인 IOC 전체 차단; 경영진 보안팀 알림; 전체 환경 위협 헌팅 개시 |
| 수동 단계 | 90일 이력 데이터에 대한 종합 위협 헌팅 수행; 완전한 공격 체인 매핑 (초기 접근부터 목표까지); 모든 침해 계정/호스트 식별; 위협 인텔리전스 파트너와 조율; 캠페인 TTP에 대한 커스텀 탐지 규칙 개발; 체계적 복구 계획 (공격자에게 조기 경보하지 않도록 주의) |
11. 위협 인텔 알림
| 항목 | 상세 |
|---|
| 트리거 | 새로운 위협 인텔리전스 게시물이 환경 내 존재하는 IOC (로그에서 관찰된 IP, 도메인, 파일 해시)와 일치 |
| 자동 조치 | 30일 기간의 모든 로그 소스에서 IOC 일치 검색; 경계에서 일치된 IOC 차단; 영향 평가 보고서 생성; 각 확인된 일치에 대해 인시던트 생성 |
| 수동 단계 | IOC 일치 검증 (공유 인프라의 오탐 제거); 노출 기간 평가 (최초 발견부터 차단까지); 성공적인 익스플로잇 징후 확인; 게시물의 새로운 TTP로 탐지 규칙 업데이트; 관계자에게 위험 노출 브리핑 |
12. 악성코드 격리
| 항목 | 상세 |
|---|
| 트리거 | EDR 또는 백신의 악성 실행 파일 탐지, 또는 행동 분석이 의심스러운 프로세스 활동 식별 (프로세스 인젝션, 지속성 설치) |
| 자동 조치 | 영향 엔드포인트 격리; 악성 프로세스 종료; 악성 파일 격리; 모든 엔드포인트에서 파일 해시 차단; 포렌식 아티팩트 수집 (프로세스 트리, 네트워크 연결, 레지스트리 변경) |
| 수동 단계 | 악성코드 샘플 분석 (정적 및 동적 분석); 감염 경로 식별 (이메일, 웹, USB, 측면 이동); 동일 해시 및 행동 지표로 모든 엔드포인트 스캔; 지속성 메커니즘 잔존 여부 확인; 루트킷 의심 시 클린 이미지에서 엔드포인트 복원; 탐지 시그니처 업데이트 |
커스텀 플레이북
PRO 및 CUSTOM 요금제 고객은 환경에 맞는 커스텀 플레이북을 생성할 수 있습니다:
- 탐지 규칙 조합을 사용한 커스텀 트리거 조건 정의
- 사용 가능한 액션 라이브러리에서 자동 조치 설정 (IP 차단, 호스트 격리, 계정 비활성화 등)
- 환경별 수동 단계 및 에스컬레이션 절차 추가
- 대응 각 단계에 SLA 타이머 설정
커스텀 플레이북을 생성하려면 콘솔 > 플레이북 > 플레이북 생성으로 이동하세요.
플레이북 메트릭
플랫폼은 각 플레이북의 실행 메트릭을 추적합니다:
| 메트릭 | 설명 |
|---|
| 평균 격리 시간 (MTTC) | 트리거부터 자동 격리까지의 평균 시간 |
| 실행 횟수 | 플레이북이 트리거된 횟수 (30/90/365일) |
| 오탐률 | 트리거 중 오탐이었던 비율 |
| 분석가 시간 절감 | 수동 대응 대비 절감된 예상 시간 |
플레이북 메트릭은 콘솔 > 플레이북 > 분석에서 확인할 수 있습니다.
