어디서나 보안 분석가를 위한 무료 개방형 Elastic SIEM

보안 팀은 원격 근무, 클라우드 인프라 및 기타 역학의 증가로 인해 더 커지고 더욱 분산되고 있는 공격 표면을 보호해야 합니다. 이러한 팀은 이러한 대규모의 도전 과제를 충족하기 위해서는 적절한 기술을 자사의 보안 운영 프로그램에 성공적으로 통합해야 한다는 것을 이해합니다. 보안 정보와 이벤트 관리(SIEM) 솔루션이 분석가가 잠재적인 보안 위협을 탐색하고 이에 대응하는 것을 돕기 위해 설계되긴 하지만, 널리 배포되는 수많은 SIEM 솔루션에는 근본적인 한계가 있으며, 이로 인해 분석가가 좌절하게 되는 경우가 많습니다.

사이버 위협으로부터 기업을 보호하는 것은 일반적인 시기에도 충분히 어려운 일입니다. 안타깝게도 요즘과 같이 어려운 시기에는 위협 환경이 훨씬 더 험난해집니다. 선거, 주요 스포츠 행사 같은 지역, 국가 또는 글로벌 이벤트나 또는 글로벌 건강 위기조차도 이런 어려움을 더 심하게 할 수 있습니다. 보안이 되지 않은 환경에서 운영하는 작업자, 개인적인 장비나 용도가 변경된 장비, 신중하게 검토되거나 테스트되지 않았을 수 있는 프로세스를 따르는 것 등 대규모의 재택 근무를 더 널리 채택하는 것은 그 자체로 위험 부담이 있습니다.

Elastic SIEM이란?

무료 개방형 Elastic SIEM은 보안 팀에게 가시성, 위협 헌팅, 자동화된 탐색과 보안 운영 센터(SOC) 워크플로우를 제공하는 애플리케이션입니다. Elastic SIEM은 가장 성공적인 로깅 플랫폼인 Elastic(ELK) Stack 소프트웨어의 기본 배포에 포함되어 있습니다. 그리고 MITRE ATT&CK™ 프레임워크에 부합되는 기본 제공 탐색이 탑재되어 다른 도구에서 놓치는 경우가 많은 위협을 포착할 수 있게 해줍니다. Elastic의 보안 전문가들이 만들고 유지관리하며 최신 버전으로 계속 업데이트하는 이러한 규칙은 자동으로 최신 위협 활동을 탐색하고 처리합니다. 탐색 규칙이 생성하는 신호와 관련된 심각도와 위험 점수 덕분에 분석가들은 문제를 빠르게 분류한 다음 가장 위험도가 높은 작업에 집중할 수 있게 됩니다. 오늘 SIEM 솔루션을 배포하고 그 성능을 즉시 확인해야 하는 경우, 그렇게 할 수 있는 가장 쉽고 좋은 방법을 제공해 드립니다.

Elastic SIEM 팩에는 수많은 기능이 탑재되어 있습니다. 기본 검색 플랫폼으로 Elasticsearch의 속도와 확장성을 이어받아 구축되었기 때문에 분석가는 다음을 통해 그 속도를 유지할 수 있습니다.

• SOC 상태와 보안 태세를 보여주는 개요 페이지
• 위협 헌팅과 상황에 대한 인식을 위한 대시보드 
• Elastic Maps, Elastic Lens, 그리고 나머지 Kibana와의 통합
• 자동화된 탐색을 위한 탐색 엔진 
• 분석가를 위한 조사 템플릿과 함께 제공되는 고유한 타임라인 조사기

기업들은 이러한 기능을 이용해 사각 지대를 없애고 분석가에게 평균 진단 시간(MTTD)과 평균 응답 시간(MTTR)을 줄일 수 있는 도구를 제공합니다. 

왜 무료 SIEM인가?

Elastic은 사각 지대를 없애고 분석가에게 데이터와 인프라를 보호하기 위해 필요한 제품 및 워크플로우를 제공함으로써 기업이 보안 태세를 개선하도록 돕는 사명을 담당하고 있습니다. 위협 헌팅, 부정행위 탐색, 보안 모니터링을 위해 Elastic Stack을 널리 채택한 보안 커뮤니티가 원동력이 되어, 우리는 사용자가 보안을 위해 우리 제품을 훨씬 더 쉽게 배포할 수 있게 되기를 바랬습니다. 우리는 먼저 우리 커뮤니티와 협력하여Elastic Common Schema(ECS)를 개발했습니다. 이것은 네트워크와 호스트 기술로부터든 클라우드 인프라와 애플리케이션으로부터든 서로 다른 출처의 데이터를 정규화하는 작업을 간소하게 해줍니다. 2019년 6월에는 Elastic SIEM을 출시하면서, 활발하게 유지관리되는 SIEM 탐색 규칙과 함께 패키지로 제공되는 업계 유일의 무료 개방형 SIEM을 도입했습니다. 

샌프란시스코의 RSA 2020 컨퍼런스 부스에서 수십 명의 방문자에게 최신 Elastic SIEM 기능을 시연해 보였는데, 거의 모든 시연 후에 라이선싱 비용에 대한 질문을 받을 때 방금 보여드린 모든 것을 무료 개방형으로 사용할 수 있다는 대답을 할 수 있어 기뻤습니다. “잠깐만요, 체험판 말인가요?” “아니요, 영구적으로 무료입니다.” “정말이요?” “그렇습니다.”

무료로 시작하고 대규모로 배포하기

무료 개방형은 SIEM에는 새로운 것일지 모르지만 Elastic에는 새로운 것이 아닙니다. 여러 해 동안 기업들은 Elastic Stack에서 위협 헌팅과 SIEM을 위한 보안 분석 프로젝트를 구축해왔습니다. 이들은 라이선싱 비용 없이 무제한 확장, 무제한 기간의 개념 증명을 누려왔고, 일반적으로 새로운 엔터프라이즈 소프트웨어를 평가하는 것과 관련된 벤더 문제를 겪지 않았습니다. 우리는 Elastic SIEM으로 이 기반 위에 구축하고 있으며, Elastic SIEM은 다운로드하여 온-프레미스로, 가상 환경이나 컨테이너화된 환경에서 또는 사용자의 클라우드나 Elastic 클라우드에서 실행할 수 있습니다.

상용 확장을 위한 리소스 기반 요금제

무료 개방형 Elastic SIEM은 SOC 운영이 모든 규모에서 사용할 수 있고 필요로 하는 한 사용할 수 있는 견고한 기반을 제공합니다. Elastic은 또한 Elastic SIEM에 대해 상용 확장을 제공하여 이를 한 차원 더 높일 수 있도록 하고 있습니다. 여기에는 이상 징후 탐색을 기반으로 하는 머신 러닝, 외부 경보 통지, 서드 파티 사례/티켓 관리 플랫폼과의 통합, 사고 대응 시스템, SOAR 플랫폼 등이 포함됩니다.

SIEM 벤더는 통상적으로 초당 평균 이벤트 수(EPS)나 일일 색인량(DIV)과 같이 데이터 수집 속도를 기반으로 고객에게 요금을 부과합니다. 이 라이선싱 모델에는 몇 가지 약점이 있습니다. 첫째, 기업이 위협을 보다 효과적으로 탐색하는 데 실제로 도움이 될 수 있는 데이터 수집이 경제적으로 불리하게 작용합니다. 둘째, 일부 보안 데이터는 쓸모가 없거나 이를 보려면 특별한 프로세스가 호출되어야 하는 또 다른 저장 공간으로 보내야 하는 상황이 발생합니다. 셋째, 데이터의 확장을 계획하는 이러한 기업들에게 예상치 못한 불편한 예산을 집행해야 하는 상황이 생깁니다.

이와 반대로, 우리의 리소스 기반 요금제는 데이터 수집 속도나 사용자 수에 따라 요금을 부과하지 않습니다. 대신에 보안 운영을 지원하는 리소스의 견지에서 실제로 사용하는 것에 대해서만 요금을 지불하도록 합니다. 여러분은 얼마나 많은 데이터를 수집하는지, 얼마나 오래 그 데이터를 보유하는지, 그 데이터에 대해 어느 종류의 보안 워크플로우를 활성화하는지 등을 선택하게 됩니다.

왜 개방형 SIEM인가?

개방형이란 무슨 뜻일까요? 그냥 “오픈 소스”나 “오픈 코드”보다 훨씬 더 많은 것을 의미하며, SIEM에 대한 완전히 새로운 접근을 정의합니다. 우리 사용자는 오픈 커뮤니티, 오픈 로드맵, 오픈 데이터 모델, 그리고 탐색에 대한 열린 접근을 소중히 여깁니다.

오픈 커뮤니티

사용자가 문화적인 관점과 기술적인 관점 양쪽 모두에서 Elastic에 대해 좋아하는 것 중 하나라고 말하는 것은 커뮤니티입니다. 질문이 있으시면, Elastic 커뮤니티가 지원해줍니다. SIEM의 경우, 우리 팀원들이 SIEM 토론 포럼에서 그리고 공개 #siem Slack 채널에서, 아울러 사용자와 함께 참여하는 다른 곳에서 날마다 사용자 질문에 대답합니다. 

커뮤니티는 사이버 보안에서 특히 중요합니다. 보안 공간은 단일한 도구나 개인에 대한 것이 아니라 기업, 지역, 데이터 세트 또는 관행에 대해 팀들이 어떻게 협력하여 귀중한 데이터와 인프라를 위협으로부터 보호하느냐 하는 것입니다. Elastic SIEM으로, Elastic은 이 보안 커뮤니티를 적극적으로 육성합니다. 제품, 파트너십, 스폰서십, 교육 또는 Elastic 커뮤니티 그 자체로부터 나오는 놀랍고 독창적인 리서치를 통해서든 말입니다.

수많은 기업이 자체의 보안 분석 플랫폼으로 그리고 직접 개발된 SIEM 솔루션으로 다년간 Elastic을 이용해 오고 있습니다. 예를 들어, 보안 교육과 인증 분야의 리더 중 하나인 SANS는 오랫동안 Elasticsearch를 SIEM을 위한 교육 플랫폼으로 사용해오고 있습니다. 위협 헌팅, 내부자 위협, 사기 탐색을 위해 Elastic을 활용하는 수많은 다른 도구와 교육 프로그램은 말할 것도 없습니다.

오픈 로드맵

우리가 채택한 개방형 개발 관행의 또 다른 강력한 측면은 오픈 로드맵과 문제 추적기입니다. 우리가 어디에 중점을 두고 있는지 그냥 파악하려고 하든 아니면 특정한 개선 요청을 추적하고 있든, 사용자는 공개 Github 문제에 그냥 뛰어들어 스스로 교육을 시작하고 주제를 찬성하고 새로운 주제를 시작할 수 있습니다. 사용자는 완전히 개방된 환경에서 미래의 지침을 위한 우리의 설계를 보게 되며, 사용자의 아이디어에 대해 훨씬 더 상세한 내용을 분류하고 얻는 데 우리 엔지니어가 참여하는 것을 보게 됩니다. 우리는 또한 기여를 받아들이는데, 이것은 가시적인 성과를 내는 또 하나의 방법입니다.

오픈 데이터 모델

Elastic Stack에서 사용자가 추가하는 모든 정보는 우리의 오픈 데이터 모델에서 “그냥 또 하나의 인덱스”입니다. 데이터는 아무런 독점적인 형식 없이 JSON으로 저장됩니다. 우리는 ECS에서 스키마 가정을 분명하게 문서화하는데, 이것은 커뮤니티 기반이며 확장 가능합니다. 이 말은 벤더 록인이 없다는 뜻입니다. 

Elastic SIEM에는 “조사” 기능이 포함되어 앱이 사용하는 실제 쿼리를 볼 수 있습니다. 우리의 SIEM 규칙은 게시되고 완전히 문서화되어 탐색 논리를 보고 이해할 수 있으며, “블랙박스” 탐색은 전혀 없습니다. 머신 러닝 기반 이상 징후 탐색 작업조차도 손쉽게 볼 수 있고, 자체적인 사용자 정의 작업을 만들기 위해 복사 및 편집이 가능합니다. SIEM에 또 다른 데이터 소스를 추가하고 싶으신가요? 걱정하지 마세요. 뿐만 아니라 데이터를 가져오는 기능에도 비율 제한을 적용하지 않습니다. 그것은 여러분의 데이터이고 여러분이 통제권을 갖습니다.

직접 사용해 보기

Elastic SIEM을 사용해 보시겠어요? Elastic Cloud의Elasticsearch Service에서 Elastic SIEM을 사용해 보세요. 또는 Elastic SIEM 데모를 확인해 보세요. Elasticsearch에서 이미 ECS 형식의 데이터를 가지고 계신가요? Elastic Stack 7.6으로 업그레이드하고 바로 SOC 작업을 시작하세요.

Elastic Security를 실시간으로 체험해보고 싶으신가요? Elastic{ON} 투어 이벤트에 가상으로 참여하세요.