개방형 Elastic Security: 미리 빌드된 보호 기능으로 보안 팀의 역량 강화

탐지 엔지니어를 위한 탐지 콘텐츠

이제 Elastic Security에는 Elastic Security 사용자가 탐지 및 보안 모니터링을 가능한 한 빨리 설정하고 실행할 수 있도록 1,100개 이상의 탐지 규칙이 미리 빌드되어 있습니다. 이러한 1,100개 이상의 규칙 중 760개 이상이 여러 로그 소스를 고려하는 SIEM 탐지 규칙이며, 나머지는 엔드포인트를 위한 Elastic Security를 사용하여 엔드포인트에서 실행됩니다.

Elastic은 보안 커뮤니티와의 투명성과 개방성에 전념하고 있으며, 이것이야말로 Elastic이 관심 있는 모든 사람들과 협력하여 공개적으로 탐지 로직을 빌드하고 유지 관리하는 주요 이유입니다. Elastic은 연구 결과, 규칙 및 기타 발견 사항을 보안 커뮤니티에 다시 공유하여 커뮤니티로부터 배우고 추가 개선을 촉진하는 것이 중요하다고 생각합니다.

이 모든 콘텐츠는 기본 제공되어 Elastic Security에서 즉시 사용할 수 있을 뿐만 아니라, 공용 GitHub 리포지토리(SIEM 탐지 규칙, 엔드포인트 규칙)를 통해서도 제공됩니다.

Elastic은 탐지에 중점을 둔 다른 제품들과의 비교를 주저하지 않으므로, Tidal Cyber 플랫폼에서 Elastic Security를 찾아보실 수 있습니다.

보안 콘텐츠를 제공하는 이유는 무엇인가요?

모든 기업이 새로운 위협을 연구하고 제공되는 최신 기술과 기능을 사용하여 탐지 결과를 도출할 수 있는 리소스를 보유하고 있는 것은 아니라는 것을 잘 알고 있습니다. 바로 이 부분에서 Elastic Security가 개입하여 보안 팀의 추가 리소스 역할을 합니다.

Elastic TRADE(위협 연구 및 탐지 엔지니어링, Threat Research and Detection Engineering) 팀은 새로운 위협과 상품 위협에 대한 연구를 수행하고, 사용자를 위한 탐지 및 예방 규칙을 개발하고 유지 관리합니다. 또한 보안 사용 사례를 지원하는 데 사용되는 다양한 쿼리 언어를 개선하기 위한 피드백도 제공합니다. TRADE 팀은 내부 InfoSec 팀뿐만 아니라 다양한 다른 엔지니어링 팀들과 긴밀하게 협력하여 지속적인 개선을 위한 피드백 통합을 보장합니다.

이 블로그 게시물의 나머지 부분에서는 SIEM 탐지 규칙과 함께 제공되는 보안 콘텐츠를 활용하는 방법과 이러한 규칙을 생성하는 방법에 대해 중점적으로 설명하도록 하겠습니다. 그럼 시작해 볼까요!

Elastic 규칙 생성 프로세스

1. 주제 확인

규칙 개발 프로세스는 연구 이니셔티브, 현재 위협 환경, 인텔리전스 분석 및 범위 분석을 기반으로 우리가 집중하고자 하는 주제를 식별하는 것으로 시작합니다. 또한 사용 가능하고 인기 있는 통합, 사용자 요구 및 동향도 고려합니다.

2. 주제 연구

집중하고자 하는 기술, 위협 또는 전술이 파악되면, 이를 연구합니다. Google Workplace에 대한 그러한 분석 예제를 참조하세요. 제공되는 아키텍처와 서비스를 심도 있게 이해하고 일반적으로 MITRE ATT&CK 프레임워크®에 매핑되는 잠재적인 적대적 기술을 식별합니다.

3. 연구실 만들기

규칙에 대한 작업을 하려면, 위협을 시뮬레이션하여 탐지 로직을 만들고 테스트하는 데 필요한 데이터를 생성할 수 있는 연구실 환경이 필요할 수 있습니다. 위의 예제를 통해 Google Workplace에 대한 연구실 만들기가 어떻게 이루어졌는지 이면에서 보실 수 있습니다. 규칙을 만드는 모든 데이터 소스에 대한 연구실 환경을 만들고 유지 관리하는 데도 동일한 접근 방식이 적용됩니다.

4. 규칙에 대한 작업

일반적으로, 규칙 작성자는 사용할 규칙 유형 을 결정하고, 모범 사례에 따라 성능이 우수하고 오탐이 낮은 탐지 로직을 만들고, 이를 테스트하고, 필요한 모든 메타데이터 필드가 있는 규칙 파일을 만듭니다. TRADE의 철학은 적절한 규칙 개발 및 테스트의 핵심입니다.

5. 동료 검토 실시

다음으로, 규칙은 동료 검토를 거치게 됩니다. 물론, 검토자는 새로운 탐지로 해결되는 기술과 위협 또한 이해해야 합니다. 동료들이 기존 탐지 로직을 평가하여 로직에 잠재적으로 결함이 있을 수 있는 엣지 케이스를 식별하는 것이 중요합니다. 규칙은 위협에 의해 우회되거나 고객 환경에서 소음이 발생할 수 있으므로 균형을 파악하는 것이 중요합니다.

6. 범위 고려

탐지 범위를 개선하기 위해, 기존 규칙을 새로운 탐지에 맞게 조정할 수 있는지, 생성된 경보를 조사할 때 보안 분석가 관점에서 타당한지도 확인합니다. 이를 통해 규칙 작성자는 양적인 규칙 생성보다 질적인 규칙 생성에 더 집중할 수 있습니다. 

때로 이 프로세스에서 규칙이 너무 많은 오탐을 생성하여 결국 문제 해결을 보류하고 이를 빌딩 블록 규칙으로 릴리즈하는 경우가 있습니다. 다른 경우에는, 효과적인 탐지 로직 생성에 방해가 되는 데이터 범위의 격차를 발견하고 Elastic의 다른 팀들과 협력해 격차를 해결하며 규칙 생성이 연기되기도 합니다.

Elastic은 즉시 사용할 수 있는 탐지 규칙 범위가 모든 사람에게 완벽하게 적합하지 않을 수 있다는 것을 이해하며 예상합니다. 따라서 규칙을 수정해야 하는 경우, Kibana에서 규칙을 포크할 수 있습니다. 더 간단한 접근 방법은 위협 모델과 환경의 세부 사항을 기반으로 예외 조항을 추가하여 규칙을 업데이트함으로써 규칙을 조정하는 것입니다. Elastic의 규칙에서 어떤 것들을 기대할 수 있는지 알 수 있도록 Elastic의 규칙 개발에 대한 접근 방식에 대해 자세히 읽어보세요.

탐지 규칙리포지토리에서 Elastic의 규칙 개발을 팔로우하실 수 있습니다. 다른 Elastic 사용자와 공유하고 싶은 규칙이 있다면, 다른 사용자들이 그랬던 것처럼 Elastic의 리포지토리를 통해 커뮤니티에 공개하는 것을 고려해 보세요.

잠깐! 단지 새로운 규칙만이 아닙니다!

규칙 생성 작업 외에도, 팀은 기존 규칙을 모니터링하고 조정하는 데 상당한 시간을 들입니다. 때때로 더 이상 우리의 기준에 맞지 않는 규칙을 사용 중단하기도 할 것입니다.

Elastic은 데이터를 사랑합니다. 그리고 탐지 규칙에 대해 우리가 어떤 유형의 작업을 수행해 왔는지 확인하기 위해 탐지 규칙 리포지토리에 제출된 마지막 600개의 풀 리퀘스트를 살펴보았습니다. 아래 차트에서 볼 수 있듯이, Elastic은 탐지를 고품질로 최신 상태로 유지하기 원하기 때문에 조정 및 유지 관리가 새로운 규칙 생성보다 더 많습니다.

Elastic Security Labs 연구원은 정기적으로 원격 측정 데이터를 검토하여 경보 및 규칙별 매개 변수의 출현(prevalence)을 기반으로 조정이 필요한 규칙을 확인하고 있습니다.

Elastic Security 원격 측정은 사용자가 자발적으로 공유하며 제품 성능 및 기능 효과를 향상시키는 데 사용됩니다. 참고로, 최근 의Elastic 글로벌 위협 보고서는 사용자가 공유한 데이터를 기반으로 합니다. 위협 보고서에서는, 사용자 정의 규칙 생성을 안내하는 데 사용할 수 있는 위협 환경에 대한 글로벌 관찰 사항 및 컨텍스트를 공유했습니다.

원격 측정을 통해 규칙 효과를 검토하는 동안, 엔지니어가 심사숙고하여 정탐(TP) 경보를 검토하는 부분에서도 위협 식별이 우선됩니다. TP 원격 측정은 자체적인 별도의 분류 워크플로우를 필요로 하지만 잠재적으로 새로운 규칙 개발 또는 보다 심층적인 조사로 이어집니다. 또한 TRADE는 특히 Malware 리버스 엔지니어링, 공격자 프로파일링, 인프라 검색 및 원자성 지표 수집과 같은 보다 기술적인 분석을 통해 Elastic Security Labs에 연구 및 고급 분석을 제공합니다. Elastic은 종종 이 연구에 대해 다른 내부 연구팀과 협력합니다. 

보안 분석가를 위한 탐지 콘텐츠

탐지 규칙은 탐지 엔지니어가 사용할 뿐만 아니라 경보 분류 및 조사 작업을 수행하는 보안 분석가도 사용할 수 있습니다.

보안 분석가의 경우, 우리는 조사 안내서와 같은 추가 정보로 규칙을 강화하여 운영 위협 컨텍스트를 제공합니다. 규칙 작성자는 공격/동작에 대한 정보, 조사를 위한 포인터, 오탐, 분석 및 해결 단계를 추가합니다. 이 정보는 경보를 보고 경보가 트리거된 이유를 신속하게 이해하고 다음 단계를 정의해야 하는 분석가에게 매우 유용합니다. 조사 안내서는 Elastic Security 솔루션의 경보 인터페이스 내에서도 보실 수 있습니다.

사용자 정의 규칙에 대한 조사 안내서도 작성하는 것이 좋습니다. 이러한 안내서는 보안 팀에 귀중한 리소스가 됩니다.

Elastic은 조사 안내서와 함께 위협 탐지 규칙의 완전한 적용을 위해 노력하고 있습니다. 이 글이 게시되는 시점을 기준으로, 모든 미리 빌드된 규칙의 약 30%가 조사 안내서와 함께 제공됩니다. "Investigation Guide" 태그를 사용하여 안내서에서 미리 빌드된 규칙을 쉽게 필터링하실 수 있습니다.

제품 원격 측정은 안내서 개발의 우선순위를 정하는 데에도 사용됩니다. Elastic은 사용자가 가장 많이 사용하는 규칙을 찾고 고객에게 가장 유용하게 될 정보를 제공합니다.

Elastic의 로드맵은 기능 개선뿐만 아니라 분류 및 교정 권장 사항과 관련하여 조사 안내서에 대한 지속적인 개선으로 구성되어 있습니다. 예를 들어, Elastic Stack 버전 8.5+에서는 조사 안내서에 분석 또는 분류 중에 도움이 될 수 있는 추가 원격 측정에 대해 엔드포인트를 쿼리하는 맞춤 사용 가능한 Osquery 검색이 포함될 수 있습니다.

조사 안내서에 대한 피드백이나 제안이 있으시면, GitHub 이슈를 열어 알려주세요. Elastic은 커뮤니티 기여를 소중히 여깁니다!

고품질의 탐지 로직이 잠재적 위협을 식별하는 데 핵심적이지만, 분석가에게 유용할 수 있는 특정 위협과 관련된 추가 컨텍스트의 중요성도 이해하고 있습니다. 미리 빌드된 탐지 규칙과 함께, Elastic은 규칙 자체에 대한 컨텍스트를 최대한 제공하려고 노력합니다.

조사 안내서 외에도, Elastic은 모든 규칙을 해당 MITRE ATT&CK 매트릭스에 매핑하고 여러분을 위해 경보의 심각도와 위험을 식별합니다. 또한 적용 가능한 규칙을 선택할 때 다양한 데이터 소스를 수집하는 것이 혼란스러울 수 있지만, Elastic은 특정 규칙에 필요한 통합을 식별하도록 도와드립니다. Related Integrations 필드를 사용하여 관련 통합으로 이동하고, 관련 통합을 설정하고, 필요한 경우 관련 규칙을 실행하여 올바른 데이터 세트가 수집되었는지 확인할 수 있습니다.

추가 컨텍스트를 포함한 규칙 업데이트는 정기적으로 OOB(번외)로 릴리즈되며 Elastic Security 솔루션에서 사용자에게 직접 제공됩니다. 새 보안 기능에 의존하는 규칙을 최대한 사용할 수 있도록 스택을 최신 버전으로 업그레이드하시는 것이 좋습니다.

기타 다른 내용

TRADE 팀은 또한 Red Team Automation(RTA)이라는 탐지 규칙의 기능을 수행하고 게시합니다. Python으로 작성된 이 기능은 규칙 테스트를 지원합니다. RTA 스크립트는 무해한 TP를 생성하는 데 사용되며 팀이 여러 버전의 Elastic Security 솔루션에 대해 탐지 규칙의 회귀 테스트를 자동화하도록 도와줍니다. 게시된 RTA 스크립트를 테스트 목적으로 사용하거나 사용자 정의 규칙에 대한 새 RTA 스크립트를 생성할 수도 있습니다.

팀에서 제공하는 RTA 및 기타 도구에 대한 자세한 내용은 이 블로그를 참조하세요.

향후 작업을 눈여겨 봐주세요

보시다시피, Elastic은 규칙 생성, 사용, 유지 관리 및 테스팅에 이르기까지 탐지 워크플로우 및 규칙 수명 주기 전반에 걸쳐 미리 빌드된 콘텐츠를 제공하는 것을 목표로 합니다. 다시 말씀드리지만, 이 모든 콘텐츠는 제품 내에서 제공되며 GitHub를 통해 커뮤니티와 공개적으로 공유됩니다.

Elastic은 고객의 시스템을 보다 안전하게 보호하고 팀이 보다 쉽게 작업할 수 있도록 하기 위해 항상 노력하고 있습니다. 언제든지 연락하셔서 여러분의 아이디어와 수고를 공유해 주세요. Elastic의 Slack 커뮤니티를 통해 연락하거나 Elastic 토론 포럼에 글을 게시하여 연락하실 수 있습니다.