현대적 보안 운영을 위해 SOAR를 도입한 Elastic 8.4

Elastic Security 8.4에는 최신 보안 운영 센터(SOC)에서 분석 작업을 간소화할 수 있도록 SOAR 기능이 도입되었습니다.

현재 SOC는 수많은 문제에 직면해 있습니다. 보안 운영의 가시성과 영향이 이사회 차원의 중요한 문제가 되었지만, 보안 팀이 사용할 수 있는 리소스는 여전히 제한적입니다. 데이터는 폭발적으로 증가하고 있으며 그에 따라 보안 팀의 책임도 증가하고 있습니다. 보안 팀은 경계가 없는 분산 환경을 보호하는 동시에 SaaS 공급자 및 공유 서비스의 위험도 평가해야 합니다.

많은 조직이 모범 사례를 공유하고 기술 격차를 줄여 이러한 문제를 해결하기 위해 유사한 목표를 가진 팀을 통합하기 시작했습니다. 통합 가시성(비즈니스 애플리케이션의 운영 효율성과 가시성을 담당하는 조직)과 보안(비즈니스 애플리케이션의 보증 및 보호를 담당하는 조직) 사이의 장벽이 허물어지고 이제 데이터, 워크플로우 및 팀 전문 지식을 공유하게 되었습니다. Elastic Security 8.4는 분석가가 운영 워크플로우를 간소화하여 위협 헌팅 및 문제 해결 시간을 단축하는 데 필요한 도구를 제공합니다.

Elastic Security 8.4의 새로운 기능

현대적 SOC의 역량을 배가시키는 SOAR

최근 Elastic은 투명한 개방형 보안을 위한 노력에 더욱 집중하고 있으며, 이제 Elastic Security 8.4에서는 분석 작업을 지속적으로 간소화하기 위해 대응 기능을 확장합니다.

Elastic 8.4의 향상된 워크플로우는 기본 대응 기능과 구성 가능한 경보 및 사례별 조치를 SOAR(보안 오케스트레이션, 자동화 및 대응) 공급업체와 양방향으로 통합합니다. 이제 사용자는 ServiceNow, Swimlane, Tines와의 통합뿐만 아니라 D3 및 Torq와의 새로운 파트너십을 활용할 수 있습니다.

SOAR에 대한 Elastic 고유의 접근 방식은 Elastic Agent를 기반으로 합니다. Elastic Security 솔루션에 포함된 이 기술을 사용하면 수백 개의 데이터 소스에 걸쳐 클릭 한 번으로 사용 사례를 확장할 수 있을 뿐만 아니라 엔드포인트 및 클라우드 보안 소프트웨어도 관리할 수 있습니다. Elastic Agent는 모든 사용자가 액세스할 수 있는 기본 문제 해결 기능을 지원하므로 추가 기술을 구입할 필요 없이 누구나 SOAR 여정을 시작할 수 있습니다.

문제 해결을 위한 사용 사례가 증가하고 팀에 고급 오케스트레이션 제어 기능이 필요해짐에 따라, 사용자는 Elastic Security 내에서 사용자 지정 가능한 오케스트레이션 기능을 활용하거나 다른 주요 SOAR 공급업체와의 원클릭 통합 기능을 활용할 수 있습니다. 공급업체에 종속되지 않고 모든 사용자에게 단순성과 통합을 제공하려는 조직의 요구 사항과 함께 이러한 사용자 우선 접근 방식이 확장되고 있습니다.

고객은 이 성장에 따른 확장 모델을 통해 네이티브 원클릭 작업 및 오케스트레이션을 자사와 서드파티 통합을 위한 API 우선 접근 방식과 결합하여 기존 에코시스템에서 자동화 및 오케스트레이션 워크플로우와 프로세스를 간소화할 수 있습니다. 이제 분석가는 SOAR 요구 사항에 Elastic Security를 사용하거나, Elastic 파트너인 SOAR 공급업체를 활용하여 오케스트레이션 기능을 확장하거나, Elastic 작업과 모든 기능에 대한 API 우선 접근 방식을 통해 대응 경험을 완벽하게 사용자 지정할 수 있습니다.

SOAR에 대한 열린 비전은 엔드포인트 방어 및 탐지 기능을 제공하고 확장된 탐지 및 대응(XDR) 기능을 지원하는 엔드포인트를 위한 Elastic Security 등 다른 많은 기술에 대한 우리의 접근 방식을 잘 보여줍니다. 사용자는 선택할 자격이 있으므로 Elastic은 CrowdStrike, Microsoft Defender, SentinelOne과 같은 다른 엔드포인트 공급업체와의 다양한 통합을 제공합니다. Elastic에서는 중복되는 기능을 제공하는 기술과의 통합을 주저하지 않고 커뮤니티를 위해 최선을 다합니다.

많은 조직이 이제 막 보안 오케스트레이션, 자동화 및 대응 작업을 시작하고 있습니다. Elastic의 네이티브 SOAR 기능은 모든 종류의 조직이 사고 관리에 뛰어난 역량을 발휘하도록 지원하며, 긴밀하게 통합된 SOAR 파트너는 조직이 더 많은 성과를 달성할 수 있도록 지원합니다.

특별히 구축된 대응 자동화 인터페이스

대응 계획의 수립, 구축 및 실행을 위한 핵심 워크플로우는 SOAR의 핵심 구성요소입니다. Elastic Security 8.4에서는 실무자가 대응 작업을 신속하게 보고 호출하여 대응을 가속화할 수 있는 터미널 형태의 인터페이스가 도입되었습니다. 주요 분석가 워크플로우에서 클릭 한 번으로 액세스할 수 있으므로 평균 응답 시간(MTTR)을 최소화할 수 있습니다.

호스트 격리(기존 조치)는 분석가가 감염된 시스템에서 네트워크 연결을 신속하게 비활성화하여 측면 이동을 방지하는 동시에 대응자가 문제를 분류하고 조사할 수 있도록 합니다. 버전 8.4에서는 이 OS 간 응답 기능(Linux, macOS, Windows)에 다음과 같은 세 가지 프로세스 작업이 추가되었습니다.

• 현재 실행 중인 프로세스 열거
• 프로세스 일시 중단
• 프로세스 종료

새로운 감사 인터페이스는 사고 대응 활동의 전체 기록을 제공하여 엄격한 통제와 보고를 지원합니다.

이러한 기능은 8.4에서 정식 버전(GA)으로 제공되며, 자체 관리형 및 클라우드 배포의 엔터프라이즈 구독 티어에서 액세스할 수 있습니다. 이후 릴리즈에서는 사용 가능한 대응 작업을 더욱 확장할 계획입니다.

Windows 호스트의 자가 복구

공격당한 호스트를 알려진 양호한 상태로 되돌리는 것은 SOAR의 또 다른 핵심 구성 요소입니다.

Elastic Security 8.4에는 시스템에서 공격 아티팩트를 지우는 자동 대응 기능인 자가 복구가 도입되었습니다. 이제 호스트에서 악의적인 활동이 식별되면 자가 정화는 공격 중에 구현된 변경 사항을 되돌림으로써 호스트를 자동으로 공격 전 상태로 되돌립니다. 이번 릴리즈에서는 파일 변경 사항을 되돌리고 삭제/생성된 실행 파일을 처리하는 데 초점을 맞췄으며, 추가적인 대응 기능이 곧 제공될 예정입니다.

Windows 시스템의 자가 복구 모드는 8.4의 정식 버전(GA)으로 제공되며 자체 관리형 및 클라우드 배포의 플래티넘 구독 티어에서 액세스할 수 있습니다.

자동화된 경보 인사이트

보안 분석가는 환경에서 하나의 경보와 다른 수많은 경보를 연결하는 데 상당한 에너지를 소비합니다. 대량의 경보와 잘못된 경보의 조합으로 발생하는 경보 피로와 훈련된 전문가의 부족은 많은 조직에서 상당히 골치를 앓는 문제입니다. 또 다른 새로운 기능인 경보 인사이트는 워크플로우 내에서 분석가에게 관련 경보 및 사례를 안내하여 영향 평가를 가속화하고 분석가 워크플로우 및 경험을 최적화합니다. 분석가는 다음을 한눈에 볼 수 있습니다.

• 이 경보가 이전에 발생한 적이 있는가?
• 이 경보가 주요 손상 지표에 따른 다른 경보와 관련이 있는가?
• 동일한 사용자 세션의 관련 경보를 기반으로 한 Elastic 고유의 그룹화

또한, 클릭 한 번으로 Elastic의 끌어서 놓기 조사 환경으로 전환되므로 위협 헌팅 및 추가 분석을 손쉽게 수행할 수 있습니다.

경보 인사이트는 8.4에서 정식 버전(GA)으로 제공되며 플래티넘 구독 티어에서 액세스할 수 있습니다.

확장된 SOAR 파트너십

SOAR은 네이티브 통합 및 서드파티 SOAR 통합을 통해 Elastic Security를 강화합니다. 고객 피드백에 부응하여 D3 Security와 Torq의 새로운 커넥터가 곧 출시되므로 서드파티 SOAR 통합에 대한 Elsatic의 리더십이 더욱 강화될 것입니다. 이 커넥터는 Elastic 탐지 기능을 턴키 방식으로 전달하여 보안 오케스트레이션, 자동화 및 대응(SOAR)을 가능하게 합니다.

향상된 사용자 지정 가능한 오케스트레이션

광범위한 통합 범위를 벗어난 공급업체나 작업에 대해 사용자는 Elastic의 특별 인터페이스를 사용하여 자동화를 구축할 수 있습니다. 여기서 모든 API 호출을 커넥터로 빌드한 다음 오케스트레이션된 작업으로 적용할 수 있습니다. 사용자가 필요한 사용자 지정 제어를 빠르게 시작할 수 있도록 개방형 커넥터 커뮤니티가 최근에 게시되었습니다. Elastic 8.4에서는 이 기능을 경보에서 사례별 조치로 확장했습니다.

그 외에 다른 것이 있나요?

Elastic 8.4에는 SOAR 기능을 도입한 것 외에도 다음과 같은 몇 가지 탐지 엔지니어링 개선 사항이 포함되어 있습니다.

• 로그 데이터에 나타나는 새 엔티티를 손쉽게 탐지: 데이터 소스에서 낯선 용어가 발견되면 사용자에게 알려주는 새로운 규칙 유형을 도입했습니다. 문서가 수집되고 지정된 기간(예: 지난 7일) 동안 나타난 필드 값과 다른 필드 값이 포함된 경우 이 규칙은 경보를 생성합니다. 새 호스트, IP 주소 또는 사용자 이름의 출현은 검토할 가치가 있는 환경 변화를 의미할 수 있습니다.
• 와일드카드 지원으로 확장된 규칙 예외: 예외에 대한 구성이 쉬워지고 유연성이 향상됩니다. 예외 구성에 사용되는 새로운 연산자(일치)가 도입되어 사용자가 와일드카드 식을 활용할 수 있게 되었습니다(단일 문자 일치의 경우 '?'도 사용 가능).
• 주요 보안 제품으로부터 데이터 수집 가능: Elastic 8.4는 보안 데이터 소스의 데이터를 쉽게 온보드, 분석 및 시각화할 수 있도록 Elastic Agent에 몇 가지 새로운 원클릭 통합 기능을 도입했습니다. 새로운 통합에는 Azure Firewall, Cisco Identity Service Engine, Cisco Secure Email Gateway, Citrix Web Application Firewall, Mimecast, Proofpoint TAP, SentinelOne이 포함됩니다. Palo Alto 차세대 방화벽 통합도 PAN-OS 10.x 및 모든 로그 유형에 대한 지원을 포함하도록 업데이트되었습니다.

전체 목록은 자세한 릴리즈 노트를 참조하세요.

사용해 보기

기존 Elastic Cloud 고객은 Elastic Cloud 콘솔에서 이 중 많은 기능을 바로 이용하실 수 있습니다. Elastic을 처음 접하시는 경우, 빠른 시작 안내서(빠른 시작을 위한 짤막한 길이의 교육용 비디오)나 무료 기초 교육 과정을 살펴보세요. Elastic Cloud 14일 무료 체험판을 통해 언제든지 무료로 시작하실 수 있습니다. 또는 자체 관리형 버전의 Elastic Stack을 무료로 다운로드하실 수도 있습니다.

이러한 기능 및 자세한 내용은 Elastic Security 솔루션 8.4.0 릴리즈 노트를 참조하시고, Elastic Stack에 대한 다른 주요 내용은 Elastic 8.4 발표 게시물을 참조하세요.

이 게시물에 설명된 기능의 릴리즈 및 시기는 Elastic의 단독 재량에 따릅니다. 현재 이용할 수 없는 기능은 정시에 또는 전혀 제공되지 않을 수 있습니다.