4장. 보안 관련 이벤트에 대응하기 위한 이벤트 기반 Ansible

이벤트 기반 Ansible은 조직이 실시간 이벤트에 동적으로 응답할 수 있는 강력한 자동화 프레임워크입니다. 다양한 소스의 트리거를 수신하고 조건을 평가하며 Ansible 플레이북을 사용하여 자동화된 응답을 실행합니다.

이벤트 기반 Ansible은 보안 운영과 관련하여 보안 관련 이벤트에 대한 응답을 자동화하여 신속한 사고 대응, 위협 완화 및 시스템 강화를 지원합니다. 이벤트 중심 자동화는 IT 환경의 변화하는 조건에 자동으로 대응하여 문제 해결을 가속화하고 일상적인 반복적인 작업을 줄이는 프로세스입니다. 이벤트 기반 Ansible은 규칙을 사용하여 이벤트 소스를 해당 작업과 연결합니다. 이러한 의사 결정 기능은 모니터링 툴에서 "이벤트"를 수신하고 필요한 조치를 트리거합니다. Ansible Rulebooks는 이벤트 소스를 정의하고 "if-this-that" 명령을 사용하여 이벤트가 발생할 때 수행할 작업을 설명합니다. Ansible Rulebooks는 플레이북 실행 또는 모듈을 직접 실행하는 등 이벤트 조건을 작업에 매핑합니다. Ansible을 통해 이 이벤트 중심 자동화 프로세스는 이벤트 중심 보안을 위한 보안 관련 이벤트에 적용됩니다. 보안 위험을 신속하게 식별하고 해결하려면 광범위한 모니터링 도구가 필요합니다. 이러한 툴이 문제 또는 우려 사항을 식별할 때 이벤트 중심 자동화 솔루션은 인적 개입, 분류 또는 해결을 위해 SIEM(Security Information and Event Management) 시스템으로 로그 소스를 다시 제공합니다. 자동화된 이벤트 중심 위협 응답 예로는 포트, IP 또는 장치 종료가 포함됩니다. 이벤트 소스에서 네트워크 라우터를 조사하고 라우터가 응답하지 않는 것을 발견하면 이를 이벤트로 인식합니다. 이벤트 기반 Ansible은 이 이벤트를 수신하고 규칙북의 규칙에 의해 정의된 조건과 이벤트를 일치시킵니다. 이 경우 "응답이 없음을 나타내는 이벤트가 발생하면 라우터를 재설정"합니다. 이벤트 기반 Ansible은 Rulebook의 지침을 트리거하고 라우터가 재설정되어 일반 기능으로 복원합니다. 이것은 사람의 개입없이 언제든지 발생할 수 있습니다.

이벤트 기반 Ansible은 다음과 같은 일반적인 보안 유스 케이스를 자동화할 수 있습니다.

다음은 이벤트 기반 Ansible을 사용하여 무단 SSH 액세스를 감지하고 이에 대한 응답에 사용하는 워크플로우 시나리오의 예입니다.