분기별로 살펴보는 Elastic의 보안 통합 에코시스템
보안팀은 보이는 것만 보호할 수 있습니다. SIEM에 도달하지 않는 로그를 생성하는 macOS 제품군, 격리된 상태로 실행되는 이메일 게이트웨이, 공급업체 콘솔에 격리된 채로 결과를 생성하는 클라우드 환경과 같은 커버리지의 공백은 공격자가 쉽게 악용할 수 있습니다.
이에 대한 Elastic의 해답은 강력한 보안 에코시스템을 위해서는 스택의 모든 구석에서 데이터를 검색하고 컨텍스트화할 수 있는 심층 통합이 필요하다는 믿음에 기반하여 타사 통합에 대한 지속적이고 개방적인 투자입니다. 오늘, 클라우드 보안, 엔드포인트 가시성, 이메일 위협 탐지, ID 및 SIEM을 아우르는 9개의 새로운 Elastic Security 통합 기능을 발표합니다.
각 통합은 데이터를 정규화하고 구조화하는 수집 파이프라인과 시각화 및 분석을 위한 즉각적인 시작점 역할을 하는 사전 구축된 대시보드와 함께 제공되므로, 팀은 파서를 작성하거나 유지 관리할 필요 없이 첫날부터 새로운 데이터 소스에서 검색, 상관 관계 및 조사를 수행할 수 있습니다.
macOS 보안 이벤트
Elastic Endpoint Security를 제공하는 기본 통합인 Elastic Defend는 macOS에서 풍부한 보안 원격 분석을 수집하며, 전체 시스템 감사가 아닌 고가치 탐지 신호에 의도적으로 초점을 맞추고 있습니다. 로그인 및 로그아웃 이벤트, 계정 생성 및 삭제, 서비스 등록 변경, 애플리케이션 진단 로그는 모두 해당 범위 밖에 있기 때문에 위협 헌터와 IR 팀은 완전한 macOS 컨텍스트가 없는 상태로 남게 됩니다. macOS 보안 이벤트 통합은 Windows 이벤트 로그 통합을 통해 Windows 장치에 제공되는 것과 동일한 깊이 있는 OS 수준의 가시성을 제공함으로써 Elastic Defend를 보완합니다.
MacOS 엔드포인트는 엔드포인트당 수만 개의 통합 로그 항목을 생성합니다. 이 볼륨을 필터링하지 않고 그대로 두면 신호가 아닌 노이즈가 발생합니다. 이 통합은 인증 활동, 프로세스 실행, 네트워크 연결, 파일 시스템 변경, 시스템 구성 수정 등 보안 관련 이벤트에 대한 수집 범위를 지정하는 구문 기반 필터와 함께 제공됩니다.
이러한 술어 기반 필터를 사용하면 모든 것을 수집하는 데 드는 비용이나 복잡성 없이 포괄적인 macOS 적용 범위를 확보할 수 있습니다. 수집된 이벤트는 Elastic Security의 AI Assistant에서 즉시 사용할 수 있습니다. 분석가는 " "지난 24 시간 동안 macOS 엔드포인트에서 발생한 모든 권한 상승 시도 표시" 또는 "이 호스트의 로그인 실패 요약"과 같은 자연어 질문을 통해 원시 통합 로그 항목을 쿼리 하나 작성하지 않고도 실행 가능한 조사 컨텍스트로 전환할 수 있습니다.
macOS 보안 이벤트 통합을 확인하세요.
IBM QRadar
IBM QRadar를 Elastic Security와 병행하여 실행하는 팀의 경우, Elastic으로 알림 수집이 더욱 쉬워졌습니다. QRadar 통합은 QRadar의 위반 및 규칙 엔드포인트에서 위반 기록을 수집하여 각 경보를 트리거 규칙의 이름, ID, 유형 및 소유권으로 보강하므로 분석가는 다시 QRadar로 전환하지 않고도 Elastic에서 분류할 수 있습니다.
이 통합은 Splunk에서 이미 사용 가능한 기능을 반영하는 QRadar를 위한 Elastic의 SIEM 마이그레이션 워크플로우의 기반입니다. 팀은 자동 마이그레이션을 사용하여 QRadar 규칙을 Elastic으로 마이그레이션할 수도 있습니다. 시맨틱 검색과 생성 AI를 사용해 기존 규칙을 Elastic의 1,300개 이상의 사전 구축된 탐색에 매핑하고, 직접 매핑되지 않는 모든 것을 ES|QL로 변환하여 전체 탐색 라이브러리를 수동으로 재구축하지 않고도 SIEM 공간을 통합할 수 있습니다.
IBM QRadar 통합을 확인하세요.
프루프포인트 에센셜
엔터프라이즈 고객의 경우, Proofpoint의 TAP(표적 공격 보호)를 Elastic에서 사용할 수 있습니다. SMB 환경과 이들에게 서비스를 제공하는 MSP 및 MSSP에 동일한 이메일 위협 가시성을 제공하기 위해 이제 Proofpoint Essentials를 사용할 수 있습니다.
Proofpoint Essentials 통합은 네 가지 이벤트 유형을 Elastic Security로 스트리밍합니다:
- 차단된 악성 URL을 클릭한 횟수
- 허용된 클릭 수
- URL 방어 또는 첨부 파일 방어에 의해 인식된 위협이 포함되어 차단된 메시지
- 이러한 위협이 포함되어 있음에도 불구하고 전달된 메시지
이 데이터를 쉽게 표시할 수 있도록 미리 구축된 두 개의 대시보드를 사용할 수 있습니다:
SMB SOC 팀의 경우 피싱 시도, 멀웨어 탐지, 정책 위반이 나머지 보안 원격 분석과 동일한 플랫폼에서 이루어지므로 위협의 전체 맥락을 파악하기 위해 플랫폼을 전환할 필요가 없습니다.
Proofpoint Essentials 통합을 확인하세요.
AWS 보안 허브
AWS 보안 허브는 AWS 환경 전반에서 발견한 내용을 집계하지만, 이러한 발견 내용을 조사하려면 팀의 나머지 보안 데이터와 별도로 AWS 콘솔 내부에 머물러야 합니다. Elastic 통합은 보안 허브의 결과를 OCSF(Open Cybersecurity Schema Framework) 형식의 Elastic으로 가져오고 이를 ECS로 정규화하여 ES|QL을 통해 즉시 검색할 수 있는 스키마 일관성 데이터를 제공함으로써 이를 변화시킵니다.
발견한 내용은 Elastic 취약성 결과 페이지에 표시되며, 이미 구축된 워크플로우에 바로 AWS 클라우드 보안 태세를 통합합니다. 여기에서 보안 허브 데이터를 다른 소스(엔드포인트 알림, ID 이벤트, 네트워크 원격 분석)의 신호와 상호 연관시켜 AWS 환경 전반의 위험에 대한 전체적인 그림을 구축하고 기본 콘솔에서 허용하는 것보다 더 빠르게 조사할 수 있습니다.
AWS 보안 허브 통합을 확인하세요.
더 많은 새로운 Elastic Security 통합
위의 주요 통합 기능 외에도 다음과 같은 통합 기능을 사용할 수 있으며, 각각 사전 구축된 대시보드와 함께 제공되어 즉각적인 가치를 제공합니다:
- JupiterOne: 자산 인텔리전스 및 클라우드 공격 표면 모니터링, 교차 도구 알림, CVE 결과, 위협 탐지를 수집하고 MITRE ATT&CK 매핑 및 CVSS 점수로 강화된 위협 탐지, 통합된 위험 가시성을 위한 호스트 컨텍스트를 제공합니다.
- 에어락 디지털: 애플리케이션 허용 목록 및 실행 제어 원격 분석으로 명령줄, 파일 해시 및 게시자 컨텍스트를 통해 차단된 프로세스 실행을 캡처하여 무단 실행 시도를 다른 엔드포인트 탐지와 함께 표시하고 상호 연관성을 파악할 수 있습니다.
- 아일랜드 브라우저: 사용자 탐색, 디바이스 상태, 손상된 자격 증명 탐지, 관리자 활동을 아우르는 엔터프라이즈 브라우저 보안 이벤트로, 기존 엔드포인트 에이전트를 배포할 수 없는 BYOD 및 관리되지 않는 디바이스까지 Elastic의 가시성을 확장합니다.
- 아이언스케일: 이메일 메타데이터, 발신자 평판, 영향을 받은 사서함 수, 의심스러운 링크를 캡처하는 AI 기반 피싱 탐지 이벤트로, 엔드포인트 및 ID 데이터와 상관관계를 파악하여 더 빠르게 조사하고 대응할 수 있습니다.
- Cyera: 데이터 보안 태세 관리 이벤트, 노출 심각도, 영향을 받는 레코드 수, 규정 준수 프레임워크 위반, 클라우드 환경 전반의 데이터 저장소 소유권 등 민감한 데이터 위험을 드러내어 민감한 데이터 노출이 별도의 DSPM 콘솔에 격리되어 있지 않도록 합니다.
설치하세요
이러한 통합은 보안에 대한 Elastic의 개방적인 접근 방식을 보여줍니다. 이번 모음에 포함된 9가지 통합 기능 모두 사전 구축된 대시보드와 기본 ECS 매핑을 제공하므로 추가 설정이나 사용자 지정 시각화 작업 없이도 팀에서 즉각적인 가시성을 확보할 수 있습니다.
거기서부터 Elastic의 광범위한 탐지 및 조사 기능에서 발견 결과, 알림, 로그를 즉시 사용할 수 있습니다: 다단계 위협 표면화를 위한 공격 탐색, 자연어 조사 및 안내식 대응을 위한 AI Assistant, 사용자 정의 탐색 및 헌팅 쿼리를 위한 ES|QL 및 EQL로 말이죠.
질문이나 피드백이 있으신가요? Elastic Stack 커뮤니티 Slack에서#security-siem에 가입하세요.