Incident Response Tools and Automation
1. 사고 감지 및 알림
- 실시간으로 보안 사고를 발견하고 경고하는 데에 도움이 됨
- Splunk : 실시간 모니터링 및 알림 기능 제공
- Microsoft Sentinel : 지능형 보안 분석과 위협 정보를 통합한 클라우드 네이티브 솔루션
- IBM QRadar : 다양한 데이터 소스와 통합하여 포괄적인 위협 탐지 및 알림 제공
- Snort : 오픈 소스 침입 탐지 시스템으로, 의심스러운 활동을 위해 네트워크 트래픽 모니터링
2. Threate Intelligence 플랫폼
- 위협 정보를 수집, 분석 및 공유
- ThreatConnect : 위협 인텔리전스, 분석 및 오케스트레이션을 결합
- IBM X-Force: Exchange는 조직이 위협을 피하는 데 도움이 되는 중요한 Threat Intelligence 데이터와 통찰력을 제공
- AlienVault Open Threat Exchange (OTX) : 위협 인텔리전스를 공유하기 위한 오픈 소 플랫폼
- Anomail ThreatStream : 다양한 출처에서 위협 데이터를 수집하고 조직하여 실행 가능한 인텔리전스를 제공
3. 사고 대응 플랫폼
- 사고 발생 시 워크플로우 및 문서 관리를 지원
- CrowdStrike Falcon : 엔드포인트 탐지 및 대응 기능 제공하며 사고 대응 워크플로우 지원
- IBM Resilient : 사고 대응 프로세스의 관리 및 자동화를 도움
- Cortex XSOAR : 사고 대응 워크플로우를 통합하는 SOAR 플랫폼
- TheHive : 사례 관리 및 협업 기능을 제공하는 오픈 소스 플랫폼
4. SOAR 보안 orchestaration, 자동화 및 대응
- 작업을 자동화하고 여러 보안 솔루션을 통합
- Splunk Phantom : 다양한 보안 도구와 통합하여 사고 대응을 자동화하고 orchestration 함
- IBM Resilient : 사고 대응을 간소화하기 위해 자동화 및 orchestration 제공
- DFLabs IncMan : 자동화, 오케스트레이션 및 대응 기능 제공
- Cortex XSOAR : 자동화와 orchestration 을 결합하여 사고 대응 효율성을 향상
5. 엔드포인트 탐지 및 대응 (EDR)
- 최종 사용자 장치에서 의심스러운 활동과 사건을 모니터링하는 데 도움을 줌
- Microsoft Defender : 고급 위협 보호 및 EDR 기능 제공
- CrowdStrike Falcon : 엔드포인트 위협을 탐지하고 대응하기 위한 포괄적인 EDR 기능 제공
- SentinelOne : 실시간 엔드포인트 보호 및 대응 제공
- OSSEC : EDR 기능을 갖춘 오픈 소스 호스트 기반 침입 탐지 시스템
6. 네트워크 트래픽 분석
- 이상 징후 및 잠재적 위협을 모니터링하고 분석
- SolarWinds NetFlow Traffic Analyzer : 이상 징후를 감지하기 위해 네트워크 트래픽을 모니터링하고 분석
- ManageEngine NetFlow Analyzer : 실시간 네트워크 트래픽 분석 및 모니터링 제공
- Wireshark : 네트워크 트래픽을 캡쳐하고 분석하는 오픈 소스 네트워크 프로토콜 분석기
- Plixer Scrutinizer : 트래픽 분석을 통해 네트워크 위협을 식별하고 완화하는데 도움
7. 규제 준수 및 보고 도구
- 규제 준수 및 보안 상태 보고
- AuditBoard : 조직이 감사 및 준수를 관리하는 데 도움을 주는 준수 관리 플랫폼
- Netwrix Auditor : IT 인프라 변경에 대한 가시성을 제공하고 준수 보고 지원
- Vanta : 다양한 표준에 대한 보안 모니터링 및 준수 보고를 자동화
- OpenSCAP : 자동 준수 검사 및 보고를 위한 오픈 소스 도구
Whatever I want | Interested in DFIR, Security, Infra, Cloud