<p>Elastic SIEM이 출시되었다는 기쁜 소식을 전해드립니다. Elastic SIEM은 진정한 SIEM에 대한 우리의 비전을 향해 크게 한 걸음 나아가는 것이라고 믿습니다. Elastic SIEM의 출시는 Elastic Stack이 이미 보안 분석 시장에서 누리고 있는 여세와 성공을 바탕으로 구축된 것입니다. Elastic SIEM의 최초 출시는 보안 사용 사례를 위한 새로운 데이터 세트 통합을 도입하며, 보안 전문가들이 흔히 사용하는 호스트 및 네트워크 보안 워크플로우를 보다 간소화된 방식으로 조사하고 심사할 수 있도록 해주는 Kibana의 새로운 전용 앱도 도입합니다.
</p><p>이것은 Basic&nbsp;배포에 포함되며&nbsp;사용자에게 무료 제공됩니다. Elastic SIEM은 Elastic Stack의 7.2 릴리즈에서 베타로 도입되고 있으며 Elastic Cloud의 <a href="/kr/cloud/elasticsearch-service">Elasticsearch Service</a>에서 즉시 제공됩니다. <a href="/kr/downloads">다운로드</a>하여 사용하실 수도 있습니다.
</p><h2>몇 년 전에 시작된 작업 여정</h2><p>지난 몇 년 동안 보안 전문가들은 시스템과 데이터를 사이버 위협으로부터 보호하기 위해 Elastic Stack을 즐겨 찾곤 했습니다. <a href="/kr/blog/security-events-logging-at-bell-canada">Bell Canada</a>와 <a href="/kr/elasticon/conf/2017/sf/security-at-slack">Slack</a>은 보안 분석을 위해 Elastic Stack을 사용합니다. <a href="/kr/elasticon/conf/2016/sf/hunting-the-hackers-how-cisco-talos-is-leveling-up-security">Cisco Talos</a>는 Elasticsearch를 중심으로 위협 추적 프로그램을 구축했습니다. Big Ten Academic Alliance가 구축한 공유 사이버 보안 운영 센터인 <a href="/kr/blog/omnisoc-high-speed-threat-detection-at-the-big-ten">OmniSOC</a>와 <a href="/blog/switching-to-elasticsearch-to-improve-cybersecurity-for-the-worlds-fastest-supercomputer">Oak Ridge National Laboratory</a>는 SIEM 솔루션의 핵심으로 Elastic Stack을 사용하기로 선택했습니다. 우리는 RockNSM, HELK 등과 같은 오픈 소스 프로젝트가 보안 운영자들을 지원하기 위해 Elastic Stack을 중심으로 구성되는 것을 보아 왔습니다.
</p><p>Elastic Stack이 보안 데이터에 얼마나 잘 맞는지를 보고 무척 기뻤습니다. 우리는 이러한 사용 사례와 관련해 형성된 커뮤니티로부터 영감을 받았으며 이 커뮤니티에게 보다 나은 서비스를 제공하기 위해 기본 기능들을 구축하는 데 투자를 했습니다. 로깅과 APM 같은 다른 솔루션에 대해서도 그렇게 해왔던 것처럼 말이죠. 보안 정보와 이벤트 수집부터 시작하여 Filebeat, Winlogbeat, Auditbeat로 수집하는 호스트 기반의 보안 데이터 세트를 확장했습니다. 또한 Bro/Zeek와 Suricata 같은 침입 탐지 시스템(IDS) 및 인기있는 네트워크 모니터링과의 통합을 추가함으로써 네트워크 기반의 보안 이벤트 수집 범위도 확장했습니다.
</p><p>데이터 세트 통합을 확대했을 때, 우리는 여러 다른 소스에서 공통된 방법으로 데이터를 나타내는 것이 얼마나 중요한지를 깨달았습니다. 우리는 우리 커뮤니티와 파트너들과 함께 지난 18개월 동안 Elastic Common Schema(ECS)에 대한 작업을 했습니다. 이것은 손쉽게 별개의 소스 데이터를 정규화하여 소스 간의 상관 관계, 검색, 분석이 가능하도록 해주는 확장성 있는 필드 매핑 사양입니다.
</p><p>수많은 보안 데이터 소스와 그것을 저장하는 공통 스키마를 손쉽게 수집할 수 있는 방법과 함께, 우리 여정의 다음 번 단계는 확실히 이러한 조각들을 한 곳으로 모아 보안 전문가들의 니즈에 맞춤화된 사용자 경험을 제공하는 사용자 인터페이스였습니다.
</p><p>Elastic SIEM을 한 번 살펴볼까요?
</p><h2>Elastic SIEM 소개</h2><p>Elastic SIEM의 중심에는 새로운 SIEM 앱이 있습니다. 이 앱은 보안 팀들이 이벤트를 심사하고 초기 조사를 수행하는 대화형 작업 공간입니다. 그 타임라인 이벤트 뷰어는 분석가들이 공격의 증거를 수집하여 저장하고, 관련 이벤트를 고정시켜 주석을 달며, 발견 사항에 대한 의견을 써서 공유할 수 있게 해줍니다. 이 모든 것이 Kibana 내에서 가능합니다. 따라서 사용자는 ECS 형식을 따르는 모든 데이터를 가지고 손쉽게 작업할 수 있습니다.
</p><p>Kibana는 언제나 보안 팀들이 보안 데이터를 시각화, 검색, 필터링하는 훌륭한 공간이었습니다. Elastic SIEM 앱은 보안 팀들이 Kibana에서 좋아하는 모든 측면, 즉, 대화형 작업, 임시 검색, 응답이 빠른 드릴다운 등을 통상적인 SOC 워크플로우에 부합되는 직관적인 제품 경험으로 패키지화합니다.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt78b52a8a77855ab5/5d01b330ea19705f1784b099/introducing-elastic-siem-1.jpg" data-sys-asset-uid="blt78b52a8a77855ab5" alt="Elastic SIEM" "="">
</p><p>SIEM 앱에서는 호스트 관련 보안 이벤트와 네트워크 관련 보안 이벤트 분석이 알림 조사의 일환으로 또는 대화형 위협 추적의 일환으로 제공됩니다. 여기에는 다음이 포함됩니다.
</p><h3>호스트 보안 이벤트 분석</h3><p>Kibana에 이미 존재하는 방대한 시각화 및 대시보드 라이브러리에 대한 보완으로, SIEM 앱의 호스트 조회는 호스트 관련 보안 이벤트에 대한 핵심 메트릭을 제공하며, 타임라인 이벤트 뷰어와의 상호작용을 활성화하는 데이터 표 세트도 제공합니다. 7.2에서는 Winlogbeat의 Sysmon에 대한 지원으로 새로운 호스트 기반 데이터 수집도 가져옵니다.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt0a8f8d63938463bc/5d01b52bae9baaf01450ac67/introducing-elastic-siem-2.png" data-sys-asset-uid="blt0a8f8d63938463bc" alt="Elastic SIEM에서 호스트 조회" "="">
</p><h3>네트워크 보안 이벤트 분석</h3><p>마찬가지로, 네트워크 조회는 분석가들에게 핵심 네트워크 활동 메트릭에 대한 정보를 알려주며, 손쉽게 조사 시간을 보강하고, 타임라인 이벤트 뷰어와 상호 작용이 가능한 네트워크 이벤트 표를 제공합니다. 7.2에서는 Cisco ASA와 Palo Alto 방화벽에 대한 지원도 도입됩니다.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt49f9d5bd0cd6f161/5d09f1b797f2babb5af91461/introducing-elastic-siem-3.jpg" data-sys-asset-uid="blt49f9d5bd0cd6f161" alt="Elastic SIEM의 네트워크 이벤트 뷰어" style="background-color: initial;">
</p><h3>타임라인 이벤트 뷰어</h3><p>탐지 또는 위협 추적을 위한 협력 작업 공간으로서, 분석가들은 관심이 가는 객체들을 쉽게 타임라인 이벤트 뷰어로 끌어다 놓음으로써 알림의 원인을 밝혀내기 위해 필요한 바로 그 쿼리 필터를 손쉽게 만들 수 있습니다. 조사 중에 분석가들은 개별 이벤트를 고정시키고 주석을 달 수 있으며, 조사 중에 취해진 조치들을 설명하는 메모도 추가할 수 있습니다. 자동 저장 기능은 조사 결과가&nbsp;사고 대응 팀에게 안전하게&nbsp;제공될 수 있도록 해줍니다.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt87dfa7c4504b234a/5d01b807468d9dde14e96320/introducing-elastic-siem-4.gif" data-sys-asset-uid="blt87dfa7c4504b234a" alt="Elastic SIEM의 타임라인 이벤트 뷰어" "="">
</p><h2>계속되는 작업 여정</h2><p>Elastic은 언제나 신속하게 실행에 옮기고,&nbsp;자주 릴리즈&nbsp;하며 사용자에게 끊임 없는 가치 흐름을 제공하기 위해 노력하고 있습니다. 우리는 Elastic SIEM이 진정한 SIEM에 대한 우리의 비전을 향해 크게 한 걸음 나아가는 것이라고 믿습니다. 우리 사용자와 파트너 커뮤니티의 초기 피드백은 대단히 긍정적이었습니다.
</p><p>글로벌 시스템 통합자를 포함해 우리의 파트너 생태계에서도 사용자들이 SIEM 사용 사례를 위해 자연스럽게 Elastic Stack을 배포하는 것을 보아왔습니다.
</p><p>보안 솔루션 통합업체이자 Elastic 권장 파트너인 Optiv의 Greg Baker 부사장 겸 사이버 디지털 담당 제너럴 매니저는 “Elastic의 새로운 SIEM 역량 덕분에 우리가 보안 가시성을 간소화하고, Elastic Stack에서 클라이언트를 위해 확장가능한 엔드 투 엔드 보안 및 데이터 솔루션을 구축하는 능력이 향상되고 있다”며, “Elastic과 함께 이러한 역량에 대한 클라이언트의 요구를 공동으로 지원하고 오랜 파트너십을 계속 이어가기를 바란다”고 말했습니다.”
</p><p>이것은 우리의 보안 여정에 있어 큰 이정표이며, 앞으로 계속해서 이것을 구축해가려고 합니다. SIEM 감지 규칙, 사용자 분석, 위협 인텔리전스 통합, 그리고 더 많은 데이터 소스 등과 같은 기능이 앞으로 계속 진행될 예정입니다. 계속해서 Elastic만의 방식으로 이를 진행할 것이라고 하는 편이 더 나을 것 같습니다. 사용자가 데이터, 애플리케이션, 네트워크 인프라를 보호하도록 도와드리기 위해 일반적인 SIEM의 경계와 정의를 넓히고 바꾸어갈 것입니다.<br>
</p><h2>오늘 시작하세요</h2><p>시작하려면&nbsp;<a href="/kr/cloud/elasticsearch-service">Elasticsearch Service</a>의 클러스터를 사용하시거나 Elastic Stack의 <a href="/kr/downloads">최신 버전을 설치</a>하세요. 이미 Elasticsearch에 ECS 데이터를 가지고 계시나요? 그렇다면 클러스터를 7.2로 업그레이드하셔서 Elastic SIEM을 사용해 보세요.
</p><p>간소하게 시작해 보려면, 다음과 같은 좋은 시작 안내서를 참조하시기 바랍니다.
</p><ul>
	<li><a href="/kr/solutions/siem">Elastic SIEM 솔루션 페이지</a></li>
	<li><a href="/guide/en/siem/guide/current/index.html">Elastic SIEM 설명서</a></li>
	<li><a href="/kr/webinars/introducing-elastic-siem">곧 있을 웨비나에 등록</a></li>
</ul>

siem-blog-banner.png

siem-blog-thumb.png

Introducing Elastic SIEM

Elastic SIEM 도입

Wazuh 시그니처 기반 HIDS 및 Elastic 머신 러닝은 사이버 위협을 더욱 쉽게 탐색하고 더욱 효율적으로 조사할 수 있게 해 줍니다.

ML_IDS_2000x415a.jpg

Blog.jpg

Improve Security Analytics with the Elastic Stack, Wazuh, and IDS

Elastic Stack, Wazuh, IDS를 이용한 보안 분석 개선

A walk through what it means to use machine learning to detect anomalies that are associated with cyber threat behaviors in log data living in Elasticsearch.

blog-machine-learning-5-4-release.png

Using Machine Learning and Elasticsearch for Security Analytics: A Deep Dive

머신 러닝 및 Elasticsearch를 통한 보안 분석: Deep Dive

최근의 인터넷 공격은 데이터를 볼모로 금품을 요구합니다. 귀하의 Elasticsearch 클러스터가 피해자가되지 않도록하십시오.

<table style="background: #FFFFD2;">
<tbody>
<tr>
<td><strong>Elastic Stack 6.8/7.1 이상 버전 사용자를 위한 중요 참고 사항:</strong> Elastic Stack의 기본 배포에 이제 영구적으로 무료 사용이 가능한 보안 기능이 포함됩니다. 이러한 보안 기능으로는 사용자 인증, TLS 암호화, 역할 기반 액세스 제어 등이 있습니다. 구현 세부 정보는 <a href="https://www.elastic.co/kr/blog/getting-started-with-elasticsearch-security">Elasticsearch Security 시작하기</a>를 확인해 보세요.</td>
</tr>
</tbody>
</table><p>지난 주말에 감행된 <a href="http://arstechnica.co.uk/security/2017/01/more-than-10000-online-databases-taken-hostage-by-ransomware-attackers/">악성 공격</a>으로 인해 수천 개 오픈 소스 데이터베이스의 데이터가 유출&nbsp;및 삭제되고 금품 갈취를 위한 볼모로 잡혔습니다. 이번 공격에서는 멀웨어나 "랜섬웨어(Ransomware)"가 이용되지 않았고 제품 취약점과도 관련이 없었지만, 그럼에도 불구하고 이번 공격은 데이터 손실과 데이터 침해까지 초래한 심각한 보안 사고입니다. 그나마 좋은 소식은 유사한 공격으로 인한 데이터 손실을 적절한 구성을 통해 손쉽게 방지할 수 있다는 점입니다.
</p><span id="docs-internal-guid-5d04cbab-94e3-fb22-8b45-0e237055c8aa"><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;" rel="line-height:1.38;margin-top:0pt;margin-bottom:0pt;">따라서 이번 사고를 모든 Elasticsearch 인스턴스, 특히 인터넷을 통해 액세스 가능한 데이터를 보호하는 것이 얼마나 중요한지 다시 한번 일깨우는 기회로 삼는 것이 좋겠습니다. &nbsp;
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;" rel="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><br>
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><a href="https://www.elastic.co/cloud">Elastic Cloud</a>를 선택하는 고객은 개별적으로 임의의 암호가 할당된 <a href="https://www.elastic.co/products/x-pack/security">X-Pack 보안</a> 기능을 통해 클러스터가 보호되므로 안심하셔도 됩니다. 고객이 선택한 AWS 영역 내에 이중 방화벽 및 프록시 뒤에 클러스터가 구축됩니다. 인터넷에서 암호화된 TLS 통신이 기본 구성으로 제공되며, Elastic은 2일 동안 클러스터 데이터 백업을 유지합니다.
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><br>
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;">다른 구축의 경우, 보안이 설정되지 않은 Elasticsearch 인스턴스를 인터넷에 직접 노출시키지 않는 것이 좋습니다. <a href="https://www.elastic.co/blog/found-elasticsearch-security">2013년 블로그 게시물</a>을 참조하십시오. 또한, Elastic은 기본 설치 시 로컬 호스트로만 바인딩하도록 구현되어 있습니다. 그럼에도 불구하고 인터넷 액세스가 가능한 인스턴스들이 보안이 뚫리는 사례가 늘고 있습니다.
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;"><br>
</p><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;">인터넷과 연결된 Elasticsearch 인스턴스가 보호되지 않은 경우 데이터 보호를 위해 즉시 다음 조치를 취하는 것이 좋습니다.
</p><ul>
	<li dir="ltr">모든 데이터를&nbsp;<a href="https://www.elastic.co/guide/en/elasticsearch/guide/2.x/backing-up-your-cluster.html">안전한 곳에 백업하고</a> 큐레이터 스냅샷<a href="https://www.elastic.co/guide/en/elasticsearch/client/curator/current/snapshot.html">을 수행하십시오.</a></li>
	<li dir="ltr">라우팅할 수 없는 분리된 네트워크에서 Elasticsearch를 실행하도록 환경을 다시 구성하십시오.</li>
	<li dir="ltr">또는 인터넷을 통해 클러스터에 액세스해야 하는 경우에는 방화벽, VPN, 역방향 프록시 또는 기타 기술을 통해 클러스터에 대한 인터넷 액세스를 제한하십시오.</li>
</ul><p dir="ltr" style="line-height:1.38;margin-top:0pt;margin-bottom:0pt;">그리고 다음과 같은 모범 사례를 항상 따르는 것이 좋습니다.
</p><ul>
	<li dir="ltr"><a href="https://www.elastic.co/guide/en/elastic-stack/current/upgrading-elastic-stack.html">최신 버전의 Elastic Stack으로</a> 업그레이드하십시오.</li>
	<li dir="ltr">2.x 버전을 실행 중이면 <a href="https://www.elastic.co/blog/scripting-security">스크립트 </a>설정을 확인하고, 5.x 버전을 실행 중이면 <a href="https://www.elastic.co/blog/painless-a-new-scripting-language">Painless</a> 스크립트를 활용하십시오.</li>
	<li dir="ltr"><span></span>TLS 암호화, 인증, 승인 및 IP 필터링을 추가하여 <a href="https://www.elastic.co/webinars/x-pack-security-overview-roadmap-demo">X-Pack 보안</a> 을 통해 <a href="https://www.elastic.co/products/x-pack/security">Elasticsearch 인스턴스를 보호하십시오.</a></li>
</ul></span>

Articles by Mike Paquette

Elastic SIEM 도입

Elastic Stack, Wazuh, IDS를 이용한 보안 분석 개선

머신 러닝 및 Elasticsearch를 통한 보안 분석: Deep Dive

금품을 노린 데이터 인질(Ransom) 공격 차단

제품

회사 소개

리소스