(질문)
기존의 관제 업무의 R&R중 하나가 발생한 경보나 이벤트를 확인하고,
정탐일 경우 이를 대응하는 업무를 진행할 때,
필요에 따라 공격자 또는 공격 의심 IP를 차단하기도 합니다.
SOAR의 도입 목적 중 하나가 관제 요원의 반복 된 업무 감소를 위한 워크플로우 생성 등을 통해 자동 차단을 하는 부분도 있다 알고 있습니다.
그러나 아무리 정교하게 경보 설정과 플레이북을 구현 하더라도, 오탐은 발생할 수 있다고 봅니다.
SOAR 도입 후 자동 차단 등을 진행하게 되면, 오탐으로 인하여 실제 서비스 이용자의 IP가 차단되는 경우가 발생하기도 합니다.
고객사의 서비스 성향(쇼핑몰, 금융 등)에 따라 잘못된 이용자 IP 차단의 파급이 큰 경우가 발생할 수 있는데요.
그렇다고 차단 전에 관제요원이 직접 확인을 한다면, SOAR 도입 전과 큰 차이가 없을 수 있습니다.
이럴 경우를 고려하여 SOAR 도입 시 자동차단에 대한 명확한 책임범위를 어떤 근거로 마련하는게 좋을까요?
(ex : 고객과 사전에 협의(SLA 등)하여 특정 등급(Critical) 이상의 경보에 포함 된 공격자 IP는 자동 차단하고, 오탐의 경우에도 관제의 책임을 묻지 않는다 등...)