출시

Elastic Security 7.13의 새로운 기능: 분석가에게 필수 컨텍스트 제공

By
Mark Settle

분석가들이 스마트한 의사 결정을 내리는 데 필요한 정보를 제공하는 Elastic Security 7.13을 소개하게 되어 기쁩니다. 이번 릴리즈는 osquery 지원을 위한 중요한 단계로, 환경 전반에서 호스트 데이터에 효율적으로 액세스할 수 있도록 했습니다. 새로운 방식으로 위협 인텔리전스를 포착하고 새로운 탐지 콘텐츠는 우려되는 이벤트를 포착합니다. 그뿐만 아니라 이번 릴리즈에는 엔드포인트 영역에서 개선된 사항과 새로운 데이터 소스에 대한 지원이 추가되었습니다.

누구나 사용할 수 있는 osquery

Elastic Security 7.13에서는 오픈 소스 호스트 계측 프레임워크인 osquery에 대한 지원을 크게 확대했습니다. Osquery는 많은 첨단 보안 팀이 널리 사용하는 무기로, 다음과 같은 수많은 보안, 규정 준수 및 운영 사용 사례를 강화합니다.

  • 디스크 여유 공간 또는 메모리 사용량의 예기치 않은 변경
  • 활성 계정 및 프로세스에 대한 가시성 향상
  • 규정 준수 요구 사항을 지원하기 위해 암호화된 저장 공간을 사용하고 있음을 확인

Osquery는 전 세계 오픈 소스 커뮤니티에 의해 구축되고 Elastic 사용자에게 인기가 있는 매우 강력한 도구입니다. 하지만 구현 자체가 번거로울 수 있고 상당한 DevOps 투자가 필요하여 도입이 순조롭지 않습니다. 따라서 Elastic은 7.13 릴리즈에서 제공되는 기능을 바탕으로 보안 팀이 좀 더 쉽게 osquery를 대규모로 운영할 수 있도록 지원하고자 합니다. 

중앙 집중식 osquery 관리

Osquery 관리를 Elastic 에이전트에 통합한 것은 Elastic Security에 새롭게 적용된 것으로, 복잡하게 별도 관리 계층을 둘 필요 없이 osquery의 강력한 기능을 활용할 수 있게 되었습니다. 클릭 한 번으로 원하는 또는 모든 Windows, macOS 및 Linux 호스트에 osquery를 설치할 수 있으며, 스크립트나 프로비저닝 도구는 필요 없습니다. 별도 구성 없이도 데이터가 Elasticsearch에 수집되고 Kibana에 표시됩니다. 실무자는 하나 이상의 에이전트 또는 사용자 정의된 에이전트 세트로 라이브 쿼리를 실행할 수 있으며, 예약된 쿼리를 정의하여 상태 변경을 캡처할 수 있습니다.

기존 osquery 배포에서 로그를 수집해야 하시나요? 그것이 바로 Elastic 에이전트의 osquery 로그 수집 통합이 수행하는 작업입니다.

Osquery 호스트 데이터 통합 분석

Elastic Security 7.13 및 osquery는 분석가들이 매일 사용하는 인터페이스를 통해 호스트에 대한 주요 인사이트를 제공합니다. 분석가들은 다양한 운영 체제의 매우 불편한 명령줄을 사용하는 대신 SQL로 쿼리를 작성합니다. 미리 준비된 쿼리가 다양한 커뮤니티 GitHub 리포지토리에 게시되어 있으므로 보다 쉽게 학습할 수 있습니다. 또한, Elastic Security 7.13에서는 Kibana가 코드 완료, 코드 힌트, 콘텐츠 지원을 통해 쿼리 작성자를 안내합니다.

Elastic Security에서 osquery 데이터를 분석하면 통합 데이터 분석이 가능합니다. 지금까지 실행된 쿼리에 대한 기록 보기부터 각 쿼리의 결과에 이르기까지, 단일 창에서 모든 로그/이벤트 결과, 보안 분석, osquery 컨텍스트를 볼 수 있습니다. 보안 분석을 중앙 집중화하여 다른 로그/이벤트 데이터, 이상 징후 및 위협에 대한 osquery 결과를 맥락화하고, 해당 컨텍스트를 활용하여 모니터링을 개선해 보세요.

결합된 솔루션으로서 Elastic Security와 osquery는 매우 귀중한 호스트 가시성과 분석 능력을 제공합니다. 이 결합된 솔루션을 통해 모든 호스트 데이터(osquery 결과, 로그, 이벤트 등)를 통합 분석함으로써 사이버 위협 및 관련 문제를 해결할 수 있습니다. 다른 방법으로는 찾을 수 없는 정보를 찾기 위해 호스트를 검색하세요. 그리고 바로 Elasticsearch로 결과를 수집하고 Kibana의 Security 앱에서 시각화해 보세요. 그런 다음 머신 러닝, SIEM 탐지 엔진, 대시보드 등을 사용하여 다른 소스의 데이터와 함께 분석해 보세요.

분석 워크플로우 내에서 위협 인텔리전스 확인

경보 세부 정보 패널에 표시되는 위협 인텔리전스

지표 일치 규칙으로 생성된 경보의 세부 정보 패널에서 이제 관련 위협 인텔리전스 세부 정보를 보여주므로 분석가들은 새로운 브라우저 탭에서 해당 컨텍스트를 추적할 필요가 없습니다.

행 렌더러가 위협 인텔리전스 매칭 요약

Elastic Security 7.13에서는 지표 일치 규칙으로 생성된 경보에 행 렌더러를 추가하고, 일치된 IoC에 대한 세부 정보를 의미 체계 형식으로 표시하여 분석가들이 빠르게 이해할 수 있도록 했습니다.

지표 일치 규칙 유형으로 생성된 탐지 경보에 대한 타임라인 템플릿

7.13에서는 지표 일치 규칙으로 생성된 경보에 대한 타임라인 템플릿을 추가하여 타임라인 작업 영역에 가장 정확한 세부 정보를 표시함으로써 조사를 가속화합니다.

abuse.ch의 MalwareBazaar 위협 피드 지원

7.13에서는 abuse.ch에서 MalwareBazaar 피드를 수집할 수 있도록 Filebeat의 위협 인텔리전스 모델을 확장했습니다. MalwareBazaar는 보안 커뮤니티 전체에서 malware 샘플을 쉽게 공유하여 실무자들이 현대 사회를 좀 더 안전한 곳으로 만들 수 있도록 지원합니다. Elastic Security에서는 이 컨텍스트 데이터가 지표 일치 규칙 유형을 통해 자동화된 탐지 사용 사례에 적용될 수 있을 뿐만 아니라 분석가들이 다양한 헌팅 및 인시던트 대응 사용 사례에 도움이 되는 정보에 바로 액세스할 수 있도록 합니다.

지능적 위협을 위한 고급 탐지 기법

네트워크 모듈에서 머신 러닝 작업으로 지능적 위협 탐지

Elastic의 보안 연구 엔지니어들은 명령 및 제어의 관련성, 데이터 유출 시도, 기타 의심스럽거나 악의적인 활동을 포착함으로써 네트워크 동작에서 지능적 위협이 될 수 있는 이상 징후를 발견하는 새로운 머신 러닝 작업 세트를 개발했습니다.

  • high_count_by_destination_country는 한 대상 국가에서 네트워크 활동이 비정상적으로 급증하지는 네트워크 로그를 살펴봅니다. 이를 통해 정찰 또는 열거 트래픽을 탐지할 수 있습니다.
  • high_count_network_denies는 네트워크 ACL 또는 방화벽 규칙에 의해 거부된 네트워크 트래픽이 비정상적으로 급증하는지 살펴봅니다. 일반적으로 이를 통해 잘못 구성된 디바이스 또는 의심스럽거나 악의적인 활동을 찾아낼 수 있습니다.
  • high_count_network_events는 비정상적으로 급증하는 네트워크 트래픽이 있는지 살펴봅니다. 이를 통해 의심스럽거나 악의적인 활동으로 인한 트래픽 급증을 찾아낼 수 있습니다.
  • rare_destination_country는 네트워크 로그에서 특이한 대상 국가 이름이 있는지 살펴봅니다. 이는 초기 액세스, 지속성, 명령 및 제어 또는 유출 활동 때문일 수 있습니다.

미리 작성된 탐지 규칙 추가

Elastic 7.13에는 O365, macOS 등을 보호하는 또 하나의 미리 작성된 탐지 규칙 세트가 추가되었습니다. 탐지 규칙은 광범위한 공격 기법을 지원하며 해당 타임라인 템플릿과 함께 제공됩니다.

또한, 이번 릴리즈에서는 관리자가 6가지 위협 인텔리전스 소스의 데이터가 있는지 확인하도록 지표 일치 규칙을 구성할 수 있습니다. 6가지 위협 인텔리전스 소스는 Abuse.ch MalwareBazaar, Abuse.ch URLhaus, Anomali Limo, AlienVault OTX, MalwareBazaar 및 MISP입니다.

비정상적인 상위-하위 머신 러닝 모델

Elastic의 보안 연구 엔지니어들은 최근 지도 머신 러닝 및 비지도 머신 러닝을 사용하여 LOLBins라고도 하는 자급자족 바이너리를 탐지하는 방법을 자세히 설명했습니다. 이 방법이 아니면 자급자족 바이너리가 다른 시스템 프로그램의 노이즈에 묻힐 수 있습니다.

릴리즈 주기 외 업데이트

이제 Elastic의 정규 릴리즈 주기가 아니더라도 신규 및 업데이트된 탐지 규칙을 제공할 수 있으므로 보안 연구 엔지니어들이 유행하는 보안 이벤트에 더 신속하게 대응할 수 있습니다. 모든 규칙은 버전이 관리되고 개별적으로 업데이트됩니다. 관리자는 업데이트에 대해 알림을 받으며 클릭 한 번으로 업데이트를 승인할 수 있습니다.

엔드포인트 보안 강화

프로세스 변조 탐지

Elastic에서는 이제 Process Doppelgänging 및 Process Herpaderping과 같은 공격을 비롯하여 프로세스 변조를 탐지할 수 있습니다. Elastic 에이전트 또는 Winlogbeat를 사용하여 프로세스 변조 탐지를 자동화할 수 있습니다.

EICAR 탐지

Elastic Security 7.13에서는 EICAR 서명을 Elastic 에이전트에 사용되는 기본 진단 malware 서명에 추가하여 운영을 간소화하고, Windows, macOS 및 Linux에서 malware 시스템에 대한 테스트를 자동화합니다.

Fleet 서버

버전 7.13에는 에이전트 및 에이전트 통합을 관리하여 Kibana의 로드를 덜어주는 전용 인프라 구성 요소인 Fleet 서버가 도입되었습니다. Go로 작성되었으며 수천 또는 수만 개의 에이전트를 처리할 수 있도록 특별히 구축되었습니다. Elastic Cloud 릴리즈 블로그에서 자세히 알아보세요.

점점 더 많은 데이터 통합

CyberArk Privileged Access Security 통합

CyberArk는 Elastic과 함께 Privileged Access Security(PAS) 솔루션과 강력한 통합을 구축하여 이 유용한 데이터 소스에서 수집을 최적화하고 구문 분석을 제공합니다. 다른 환경 데이터와 함께 이러한 이벤트를 분석하면 분석가가 권한이 있는 악용된 계정을 통해 위협을 탐지하여 사이버 킬 체인을 따라 진행할 수 있습니다. 또한, 이 통합에는 아래 이미지와 같은 강력하고 예리한 대시보드가 포함되어 있습니다.


Windows 이벤트를 위한 독립형 XML 프로세서

Elastic Security에서는 이제 비 Windows 시스템에 상주하는 XML 형식의 Windows 이벤트를 수집하고 구문을 분석할 수 있는 새로운 방법을 제공합니다.

레거시 SIEM의 Windows 이벤트 전달

버전 7.13에서는 이제 타사 및 레거시 SIEM 커넥터를 통해 Windows 이벤트를 수집할 수 있도록 지원합니다.

Sysmon 이벤트 수집 업데이트

Winlogbeat용 Sysmon 모듈이 작지만 중요한 방식으로 업데이트되었습니다. 이제 이벤트 24(클립보드 변경) 및 이벤트 25(프로세스 변조)를 지원합니다. 에이전트 또는 Winlogbeat를 사용하여 이벤트를 수집하고 프로세스 변조를 찾아낼 수 있습니다.

ECS 1.9 지원

모든 에이전트와 Beats 데이터 수집 모듈이 ECS 1.9를 지원하도록 업데이트되었습니다.

Elastic Security 7.13 사용해 보기

Elastic Security가 제공하는 모든 이점을 직접 체험해보고 싶으신가요? Elastic Cloud에서 7.13이 제공하는 모든 기능을 사용해 보거나 Elastic Security 데모를 확인해 보세요. 이미 Elasticsearch에 ECS 형식의 데이터가 있으신가요? Elastic Stack 7.13으로 업그레이드하여 탐지와 대응을 시작해 보세요.