AI 에이전트에서 Elastic Security 시작하기
Elastic 에이전트 스킬은 AI 코딩 에이전트에게 기본 Elastic 전문 지식을 제공하는 오픈 소스 패키지입니다. 이미 Elastic 에이전트 빌더를 사용 중인 경우, 보안 데이터와 함께 기본적으로 작동하는 AI 에이전트를 사용하실 수 있습니다. 에이전트 스킬은 다른 쪽을 위한 것으로, 팀이 이미 사용하고 있는 Cursor, Claude Code 또는 GitHub Copilot과 같은 외부 AI 도구에 동일한 Elastic Security 지식을 적용하는 것입니다.
AI 코딩 에이전트를 사용하면서 Elastic Security를 평가하고 싶거나, 설정 문서를 탐색하지 않고도 Elastic Security를 빠르게 시작하고 실행하려는 보안 팀이라면 이 책이 도움이 될 것입니다. 오늘 저희는 통합 개발 환경(IDE)을 떠나지 않고도 제로에서 완전히 채워진 Elastic Security 환경으로 안내하는 보안 기술을 출시합니다.
자세히 알아보기 전에 이 버전은 v0.1.0이라는 점에 유의하세요. 릴리스합니다. 또한 이 문서에서 시작하는 단계와 중요한 보안 고려 사항에 대해 살펴보세요.
1단계: 보안 프로젝트 만들기
AI 코딩 에이전트를 열고 프롬프트를 표시합니다: Elastic Cloud에서 보안 프로젝트를 생성하세요.
스킬은 create-project 스킬은 Elastic Cloud API를 통해 Elastic Cloud 서버리스 보안 프로젝트를 프로비저닝하고, 자격 증명을 안전하게 처리하며, Elasticsearch 및 Kibana URL을 돌려드립니다.
Elastic Cloud Serverless는 AWS(Amazon Web Services), GCP(Google Cloud Platform), Azure의 리전을 지원하므로 사용자 환경에 맞는 리전을 선택할 수 있습니다.
하나의 프롬프트. 프로젝트 준비 완료.
2단계: 샘플 데이터 생성
텅 빈 Elastic Security 프로젝트는 그다지 설득력이 없습니다. 알림도, 타임라인도, 프로세스 트리도 없습니다. 데이터가 필요하지만 탐색할 기회를 갖기 전에 실제 데이터 소스를 활성화하고 싶지는 않을 것입니다.
스킬은 generate-security-sample-data 스킬은 네 가지 공격 시나리오에 걸쳐 실제와 같은 Elastic Common Schema 준수(ECS 준수) 보안 이벤트와 합성 경보를 프로젝트에 채워줍니다:
- Windows 랜섬웨어 체인: 분석기 보기에 표시되는 프로세스 트리를 통해 랜섬웨어 배포를 위한 Word 매크로에서 PowerShell로 연결됩니다.
- 자격증명 액세스: LSASS 메모리 덤프 및 자격 증명 수집.
- AWS 클라우드 권한 에스컬레이션: IAM 정책 조작 및 무단 액세스 키 생성.
- Okta 신원 공격: 멀티팩터 인증(MFA) 요소 비활성화 및 의심스러운 인증 패턴.
이러한 이벤트는 무작위로 발생하는 것이 아닙니다. 모든 알림은 MITRE ATT& CK 기술에 매핑됩니다. 프로세스 트리에는 적절한 엔티티 ID가 있으므로 분석기는 실제 부모-자식 관계를 렌더링합니다. 공격 발견은 상호 연관된 위협 내러티브를 포착합니다. 실제 환경 없이도 라이브 환경을 경험할 수 있습니다.
탐색이 끝나면 AI 코딩 에이전트에게 샘플 데이터를 제거해 달라고 요청하세요. 모든 샘플 이벤트, 알림 및 케이스는 나머지 환경에 영향을 주지 않고 정리됩니다.
3단계: 샘플 데이터 이후 다음 단계
환경이 채워지면 동일한 AI 코딩 에이전트가 작업을 도와줄 수 있습니다. 또한 알림 분류 (알림 가져오기 및 조사, 위협 분류, 알림 승인), 탐지 규칙 관리 (노이즈 규칙 찾기, 예외 추가, 새 적용 범위 만들기), 사례 관리 (보안 운영 센터[SOC] 사례 생성 및 추적, 알림을 인시던트에 연결)를 위한 기술도 출시할 예정입니다.
왜 문서가 아닌 기술인가요?
Elastic의 API 설명서는 공개되어 있습니다. AI 에이전트가 이미 읽을 수 있습니다. 그렇다면 기술이 중요한 이유는 무엇일까요?
문서가 개별 엔드포인트를 설명하고 워크플로를 인코딩하기 때문에 기술이 중요합니다. POST /api/detection_engine/signals/search 이 존재한다는 것을 아는 것과 가장 오래된 미승인 알림을 가져오고, 트리거 시간으로부터 5분 이내에 프로세스 트리와 관련 알림을 쿼리하고, 새 사례를 만들기 전에 기존 사례를 확인하고, 해당 알림에 규칙 UUID를 첨부한 다음, 동일한 호스트의 모든 관련 알림을 세 개의 다른 API에서 올바른 필드 이름으로 순서대로 승인해야 한다는 것을 아는 것 사이에는 큰 차이가 있습니다.
스킬에는 하지 말아야 할 사항도 암호화되어 있습니다: 채팅에서 자격 증명을 표시하지 않기, 청구 가능한 리소스를 만들기 전에 확인하기, 서버리스 관련 API 특이한 점을 처리하기 등입니다. 이것은 범용 AI 에이전트를 실제로 Elastic을 잘 아는 에이전트로 만드는 전문 지식입니다.
설치하세요
모든 스킬은 오픈 소스이며 지원되는 모든 AI 코딩 에이전트와 함께 사용할 수 있습니다:
- 커서
- 클로드 코드
- GitHub 코파일럿
- 윈드서핑
- Cline
- 공개 코드
- Gemini CLI
프로젝트 작업 공간에서 터미널을 열고 실행합니다:
또는 특정 스킬을 설치합니다:
전체 카탈로그는 github.com/elastic/agent-skills에서 확인하세요.