Elastic Security 7.6.0 출시 | Elastic Blog
출시

Elastic Security 7.6.0 출시

Elastic Security 7.6은 통합된 인터페이스를 통해 전례 없는 가시성과 위협으로부터의 보호를 제공하기 위해 Elastic Endpoint Security와 Elastic SIEM의 강점을 기반으로 구축됩니다. 이번 릴리즈는 SIEM 앱에서 중앙화된 위협 탐색을 자동화하고 Windows 호스트에서의 엔드포인트 탐색 기능을 개선합니다. Elastic SIEM 앱에 걸쳐 새로운 데이터 소스와 개선 사항을 이용할 수 있게 되어 보안 실무자들이 탐색과 대응의 속도를 높일 수 있도록 한층 더 힘을 실어주게 됩니다. Elastic Security 7.6에서 새롭게 선보이는 사항을 자세히 알아보겠습니다.

새로운 SIEM 탐색 엔진과 MITRE ATT&CK™에 맞춘 규칙으로 드웰 타임 0에 근접

Elastic Security 7.6은 위협 탐색을 자동화하기 위해 새로운 SIEM 탐색 엔진을 도입하여, 평균 진단 시간(MTTD)을 최소화하고 보안팀이 다른 업무에 할애하던 시간을 줄여 사람의 직관과 스킬을 필요로 하는 보안 업무에 집중할 수 있는 시간을 갖게 해줍니다. Elasticsearch를 핵심으로 하는 Elastic SIEM은 이미 보안 조사의 속도를 높여 수 시간에서 수 분으로 시간을 단축시킵니다. 이 새로운 자동 탐색 기능은 이 기능이 없었더라면 놓치게 될 위협이 드러나게 함으로써 드웰 타임(맬웨어 또는 해커가 들키지 않고 기기 및 네트워크에 머무는 시간)을 줄여줍니다.

screenshot-siem-detections.png

SIEM 탐색 엔진에 의해 자동화된 기본 규칙이 생성하는 SIEM 탐색(신호) 보기

Elastic은 또한 다른 도구가 종종 놓치는 위협의 신호를 포착하기 하기 위해 ATT&CK 참조 자료와 맞춘 거의 100개의 기본 규칙 시작 세트를 제공합니다. Elastic의 보안 전문가들이 만들고 유지 관리하는 이러한 규칙들은 위협 활동을 가리키는 도구, 전술 및 절차를 자동으로 탐색하고, 새로운 위협에 대처하기 위해 계속해서 업데이트됩니다. 탐색 엔진이 생성하는 신호와 관련된 위험과 심각도 점수 덕분에 분석가들은 문제를 빠르게 분류한 다음 가장 중요한 작업에 집중할 수 있게 됩니다.

Skytech Communications의 Maxim Verreault 보안 관리자는 이렇게 말합니다. “Elastic은 우리 보안팀이 관리할 수 있는 볼륨으로 알림의 수를 줄이면서도 수백만 개의 로그를 효율적으로 검색하는 데 필요한 도구를 갖추게 해줌으로써 우리 보안팀이 중요한 업무에 집중하도록 도와주었습니다. 7.6의 출시로, Elastic SIEM의 기본 신호 탐색을 통해 우리는 가시성 데이터에 걸쳐 분석을 자동화하고 위협이 발생하는 순간 그 위협을 탐색하여 대응할 수 있습니다. Elastic Security 7.6은 또한 커뮤니티가 연계를 가질 수 있는 훌륭한 방법을 제공하기도 합니다. 우리처럼 보안과 관련된 일을 하는 사람들이 사용자 지정 신호 탐색을 공유할 수 있게 되어 누구나 이로부터 혜택을 얻을 수 있고 새롭게 대두되는 위협을 탐색할 수 있습니다.”

규칙은 Windows, macOS, Linux 시스템에서 수집된 Elastic Common Schema(ECS) 준수 데이터 및 다른 소스의 네트워크 정보 상에서 운영됩니다. 보안팀은 규칙을 생성하거나 사용자 정의할 수 있는 옵션이 있지만, 자체 환경에 추가되는 새로운 ECS 준수 데이터 소스에 대한 규칙을 다시 작성해야 할 필요가 전혀 없어야 합니다.

기본 Elastic SIEM 위협 탐색 규칙은 Elastic 보안 전문가들이 개발하고 유지 관리하며, SIEM 앱의 머신 러닝 기반 이상 징후 탐색 작업과 Elastic Endpoint Security의 호스트 기반 보호 양쪽 모두를 보완합니다. 말하자면...

Windows 엔드포인트에 대한 전례 없는 가시성 제공

Elastic Security 7.6은 도처에서 사용되고 있다는 점과 관대한 사용자 권한 모델로 인해 주 공격 대상인 Windows 시스템에 대한 전례 없는 수준의 가시성과 보호를 제공합니다. 이번 릴리즈는 Windows 활동에 대한 가시성을 심화하여, 이 기능이 없었다면 고급한 위협의 회피 기술에 대해 취약했을 위치의 데이터를 탄력 있게 수집하고 보강합니다. 

기본 탑재되는 새로운 탐색은 이 데이터를 활용하여 키보드 입력을 포착하고, 악성 코드를 다른 프로세서에 심으려는 시도 등을 탐색합니다. 실무자는 이러한 탐색 규칙이 생성하는 이벤트와 자동화된 대응을 연결하여 계층화된 방지를 확립할 수 있습니다. macOS와 Linux 시스템에 대한 기존의 방지, 탐색, 대응 기능과 이러한 가시성 및 보호를 결합하여 Elastic Endpoint Security 사용자들에게 전체 환경에 걸쳐 완전한 보호를 제공합니다.

Elastic Endpoint Security의 Resolver로 엔드 투 엔드 공격 보기

Elastic Endpoint Security의 Resolver로 엔드 투 엔드 공격 보기

PowerShell 이벤트로 전례 없는 가시성 제공

PowerShell 이벤트로 전례 없는 가시성 제공

가장 중요한 것을 신속하게 판단하여 MTTD 단축

새로운 Elastic SIEM 앱 개요 페이지와 더 폭넓은 워크플로우 개선으로 보안 실무자들은 위협을 빨리 탐색하고 조사할 수 있습니다. 사용자들은 타임라인을 열어, 최근의 탐색 신호를 보고, Elastic Endpoint Security, Palo Alto Networks, Suricata, Zeek 등과 같은 외부 소스의 알림을 검토하여 바로 조사에 들어갈 수 있습니다. SIEM 앱 어디에 있든, 클릭 한 번으로 그 통합된 위협 탐색과 이상 징후 탐색 기능을 이용할 수 있습니다.

Elastic SIEM 앱의 새로운 개요 페이지 덕분에 Security 모니터링이 그 어느 때보다도 더 쉬워졌습니다

Elastic SIEM 앱의 새로운 개요 페이지 덕분에 Security 모니터링이 그 어느 때보다도 더 쉬워졌습니다

분석가들은 또한 새로운 이벤트, 알림, 신호 히스토그램으로 운영 인식을 증진시키고, 보다 전문화된 분석을 위해 호스트와 네트워크 보기에서 개선된 새로운 시각화를 탐색할 수 있습니다.

Elastic SIEM의 새로운 히스토그램으로 데이터 한 눈에 보기

Elastic SIEM의 새로운 히스토그램으로 데이터 한 눈에 보기

애플리케이션 계속 지켜보기

Elastic SIEM은 또한 이제 HTTP 데이터에 대한 큐레이팅된 가시성을 제공하여, SIEM 앱 내에서 직접 Elastic APM 데이터를 볼 수 있게 해줍니다. 여러 개의 기본 Beats 모듈은 추가적인 ECS 준수 HTTP 데이터에 대한 액세스를 제공하여, 사용자가 하나의 통합된 보기에서 모든 웹 트랜잭션을 손쉽게 조사하고 시각화할 수 있게 해줍니다. 이렇게 저렇게 사용해 보시면서 어떤지 알아보세요. 아울러 DevOps 친구들도 조만간 살펴보라고 알려주시는 것도 잊지 마세요.

APM_in_SIEM.gif

클라우드 데이터 모니터링

ECS 형식의 GCP 이벤트를 수집하고 SIEM 앱에서 보기

ECS 형식의 GCP 이벤트를 수집하고 SIEM 앱에서 보기

중앙화된 시각화와 분석을 위해 Elastic Stack으로 데이터를 수집하는 일이 그 어느 때보다도 쉬워지고 있습니다. 7.6은 AWS CloudTrail 데이터에 대한 지원을 도입하며, Google Cloud Platform에 대한 지원을 개선하여, 현대적인 공격을 파악하는 데 핵심적인 가시성을 제공합니다. CEF 형식의 데이터는 클라우드에 있든 다른 그 어디에 있든, 업데이트된 Filebeat용 CEF 모듈 덕분에 그 어느 때보다도 쉽게 시각화할 수 있습니다.

오늘 시작하세요

Elastic SIEM을 사용해 보시겠어요? Elastic Cloud의 Elasticsearch Service에서 최신 버전을 체험해보시거나 Elastic SIEM 데모를 사용해보세요. Elasticsearch에서 이미 ECS 형식의 데이터를 가지고 계신가요? Elastic Stack 7.6으로 업그레이드하고 바로 헌팅을 시작하세요.

Elastic Endpoint Security로 환경을 보호하는 데 관심이 있으신가요? 저희의 미리 이용해 보기 프로그램에 등록하세요.

Elastic Security를 개인적으로 체험해보고 싶으신가요? RSA(부스 번호 1427과 2227)에서 저희를 찾아주시거나 지금 거주하시는 도시의 Elastic{ON} 투어 이벤트에 참석하세요.