모든 SOC 분석가는 경보가 발령되면 그 다음 10분 동안 분류 대시보드, 위협 찾기, 사례 파일, 애초에 살펴보라고 지시한 AI 도구 사이를 전환하는 데 시간을 허비한다는 사실을 잘 알고 있습니다.
최근에 우리는 모델 컨텍스트 프로토콜에 대한 개방형 MCP 앱 확장에 기반하여 구축된 Elastic용 MCP 앱을 도입했는데, 이를 통해 MCP 도구가 텍스트 응답과 함께 대화형 UI를 반환하고 Claude Desktop, Claude.ai에서 인라인으로 렌더링할 수 있습니다, VS 코드 코파일럿, 커서 또는 호환 호스트. 이 게시물에서는 Elastic Security MCP 앱에 대해 자세히 살펴보며, 경보 분류에서 종결된 사례에 이르기까지 핵심 SOC 루프를 다루는 6개의 대화형 대시보드를 대화에서 벗어나지 않고 살펴봅니다.
Elastic은 이미 플랫폼 내에 AI 에이전트를 제공하고 있습니다: 공격 탐색과 에이전트 빌더는 기본적으로 Kibana의 보안 데이터와 함께 작동합니다. 하지만 분석가와 보안 엔지니어도 Claude, VS Code, Cursor에서 탐지 로직을 작성하고, 위협을 조사하고, 발견한 내용을 분류하는 데 많은 시간을 할애합니다. 문제는 Elastic의 기본 제공 AI를 사용할 것인지, 아니면 외부 도구를 사용할 것인지가 아닙니다. 외부 도구가 Kibana에서 제공하는 것과 동일한 대화형 시각적 워크플로우를 제공할 수 있는지 여부입니다. 보안 MCP 앱이 바로 이 문제를 해결합니다.
보안 작업은 본질적으로 시각적이고 대화형입니다. 분석가는 호스트별로 그룹화된 알림을 스캔하고, 프로세스 트리를 확장하고, 상위-하위 체인을 추적하고, 의심스러운 엔티티를 조사 그래프로 끌어옵니다. 이 루프는 텍스트로 압축해도 살아남지 못합니다. Elastic Security MCP 앱은 이러한 표면을 AI 대화로 가져오기 때문에 정답은 워크플로우가 아니라 워크플로우 요약입니다.
SOC에 Elastic Security MCP 앱이 중요한 이유
상담원이 SOC 분석가에게 " "호스트 314에 47 알림이 있습니다, 여기에 요약이 있습니다(" 아무 작업도 수행하지 않았습니다)"라고 말하는 경우. 작업이 시작되는 지점을 가리킬 뿐입니다. 실제 작업은 알림 목록, 프로세스 트리, 조사 그래프 및 사례 파일에 있습니다. 텍스트 단락에서는 할 수 없습니다.
보안 MCP 앱은 워크플로 자체를 반환합니다. 분석가가 상담원에게 메시지를 보내면 상담원은 대화의 흐름을 잃지 않고 알림을 드릴다운하고, 위협 헌트를 실행하고, 공격 체인을 상호 연관시키고, 케이스를 열 수 있는 대화형 대시보드를 채팅에 표시합니다. MCP 앱에서 수행하는 모든 작업은 제품에서 사용하는 것과 동일한 API를 통해 Elasticsearch와 Kibana에 다시 기록됩니다. 사례, 알림, 결과부터 헌트 쿼리까지, 이러한 컨텍스트는 채팅에만 있는 것이 아니라 모두 Elastic 클러스터와 Kibana 환경에 저장되어 사용자가 준비되면 다시 가져올 수 있도록 대기하기 때문에 손실되는 것이 전혀 없습니다.
6개의 대화형 대시보드
핵심 SOC 루프에 매핑되는 6가지 요소, 즉 감지, 분류, 헌팅, 상관관계, 대응, 테스트를 선택했습니다. 각각은 에이전트가 해당 도구를 호출할 때 인라인으로 렌더링되는 React UI입니다:
| 도구 | What it does | 대화형 UI |
|---|---|---|
| 경보 분류 | 보안 알림 가져오기, 필터링 및 분류 | 심각도 그룹화, AI 판정 카드, 프로세스 트리 및 네트워크 이벤트 |
| 공격 탐지 | AI 연관 공격 체인 분석 및 온디맨드 생성 | 신뢰도 점수, 엔티티 위험 및 MITRE 매핑을 통한 공격 내러티브 카드 |
| 사례 관리 | 조사 사례 생성, 검색 및 관리 | 알림, 관찰 가능 항목, 댓글 탭 및 AI 작업이 포함된 사례 목록 |
| 탐지 규칙 | 탐지 규칙 검색, 조정 및 관리 | KQL 검색, 쿼리 유효성 검사 및 노이즈 규칙 분석 기능을 갖춘 규칙 브라우저 |
| 위협 헌팅 | ES|QL workbench with entity investigation | Query editor, clickable entities, and investigation graph |
| 샘플 데이터 | 일반적인 공격 시나리오에 대한 ECS 보안 이벤트 생성 | 사전 구축된 4개의 공격 체인이 포함된 시나리오 선택기 |
각 도구는 분석가가 작업하는 대화형 UI와 함께 모델이 추론할 수 있는 간결한 텍스트 요약을 반환합니다. UI는 MCP 호스트 브리지를 통해 백그라운드에서 새로운 데이터를 가져올 수도 있습니다. 전체 도구 모델과 브릿지 API는 리포지토리의 아키텍처 문서에 있습니다.
또한 이 앱은 상담원에게 각 도구의 사용 시기와 방법을 알려주는 SKILL.md 파일인 클로드 데스크톱 스킬과 함께 제공됩니다. 최신 릴리스에서 미리 빌드된 스킬 압축 파일을 다운로드할 수 있습니다.
경보에서 사례로
다섯 가지 기술은 핵심 SOC 루프를 다룹니다. 각각 프롬프트를 선택하고, 도구를 호출하고, 모델이 추론한 텍스트 요약과 함께 대화형 대시보드를 반환합니다. 아래 워크스루는 처음부터 시작하며, 따라하면 첫 번째 단계에서 클러스터를 채우고 나머지 루프에서 작업할 데이터를 확보할 수 있습니다.
샘플 데이터를 생성합니다. 새 클러스터로 시작하시나요? 샘플 데이터 스킬은 랜섬웨어, 측면 이동, 자격 증명 도용, 데이터 유출이라는 네 가지 일반적인 공격 시나리오에 대해 실제와 같은 ECS 보안 이벤트를 생성합니다. 상담원에게 샘플 데이터를 생성하도록 요청하고 시나리오를 선택하면 몇 초 내에 작업할 수 있는 알림 대기열이 채워집니다. 이 워크스루의 모든 내용은 이러한 이벤트를 사용합니다.
분류 알림. 상담원에게 호스트, 규칙, 사용자 또는 시간대별로 분류하도록 요청하세요. 알림 분류 스킬은 원시 알림 목록 위에 AI 판정의 대시보드를 반환하며, 탐지 규칙당 하나의 판정이 해당 규칙의 활동을 양성, 의심 또는 악성으로 분류하고 각각 신뢰도 점수와 권장 조치를 함께 표시합니다. 알림을 클릭하면 프로세스 트리, 네트워크 이벤트, 관련 알림 및 MITRE ATT&CK 태그가 포함된 상세 보기가 열립니다. Kibana 내부의 AI 도구와 알림 대시보드 간에 탭을 전환할 필요 없이 모든 것이 대화 내에서 실시간으로 이루어집니다.
위협을 찾아보세요. 상담원에게 인덱스에 대한 헌팅을 요청하세요. 위협 헌트 스킬은 쿼리가 미리 입력되고 자동 실행되는 ES|QL 워크벤치를 반환하며, 결과의 모든 엔티티를 클릭하여 드릴다운할 수 있습니다. 모델은 표 아래에 비정상적인 사항, 연결된 사항, 자세히 살펴볼 가치가 있는 사항 등 짧은 판독값을 기록합니다. 그런 다음 다음 피벗을 제공합니다. 위협 헌팅을 더 깊게 진행하거나 다른 스킬로 넘기세요. 공격 발견은 자연스러운 다음 단계로, 분류한 경보와 추적한 위협에 대한 더 많은 컨텍스트를 수집하여 공격 체인으로 연관시킵니다.
공격 검색을 실행합니다. 공격 검색 스킬은 공격 검색 API를 트리거하고 검색 결과의 순위 목록을 반환합니다. 각 발견은 하나의 공격 체인으로 연결된 관련 경보 집합으로, MITRE 전술, 위험 점수, 신뢰도 레이블, 영향을 받은 호스트 및 사용자를 미리 표시합니다. 에이전트의 요약은 동일한 순위 순서로 결과 아래에 표시되며, 이제 대화에는 다음 단계를 위해 준비된 헌트 쿼리, 분류 결정, 상관 관계 체인 등 행동에 필요한 모든 것이 담겨 있습니다.
채팅에서 나가지 않고 케이스를 엽니다. 발견 사항을 일괄 승인하거나 상담원에게 특정 알림에 대한 케이스를 열도록 요청하세요. 사례 관리 스킬은 승인된 발견(소스 경고 첨부 및 공격 체인에서 상속된 MITRE 전술)당 하나의 사례를 생성하고 실시간 사례 목록을 인라인으로 렌더링합니다. 사례를 클릭하면 AI 작업 버튼이 줄지어 있는 상세 보기가 표시됩니다: 사례 요약, 다음 단계 제안, IOC 추출, 타임라인 생성 등이 있습니다. 각각 구조화된 프롬프트가 채팅에 다시 드롭되므로 상담원은 다시 소개할 필요 없이 사례 컨텍스트를 파악할 수 있습니다. 상담원의 요약은 사례 목록 아래에 표시되며 방금 개설된 사례와 아직 상담원이 필요한 초기 결과를 포함하여 전체 IR 대기열을 다룹니다.
이 워크스루의 모든 단계는 프롬프트가 들어오고, 스킬이 이를 선택하고, 도구가 모델이 추론할 수 있는 간결한 텍스트 요약과 함께 분석가가 작업할 수 있는 대화형 UI를 반환하는 동일한 루프로 실행됩니다. 이러한 기술을 서로 연결하면 엔드투엔드 SOC 흐름으로 구성되며, 모든 단계에서 세션 컨텍스트를 전달하는 모델을 통해 사례를 헌팅, 분류, 상관관계, 오픈, 다음 피벗을 추진합니다. 아무 대시보드나 단독으로 호출해도 전체 대시보드가 표시되며, 데이터의 어떤 부분을 가리키든 지정할 수 있습니다. 어느 쪽이든 탭 전환, 복사/붙여넣기, 핸드오프 없이 대화 안에 작업이 누적됩니다.
노이즈가 많은 규칙을 조정하고, 규칙 유형별로 필터링하고, 고노이즈 감지 플래그를 지정할 수 있는 감지 규칙 브라우저는 앱을 완성하는 또 하나의 기술입니다. 후속 포스팅에서는 조사 그래프, 공격 흐름 캔버스, 엔드투엔드 워크스루 등 6가지 대시보드에 대해 자세히 다룰 예정입니다.
이 데모에 대한 전체 안내는 다음과 같습니다.
Elastic의 정보보안팀이 보안 MCP 앱을 사용하는 방법
MCP 앱의 가치는 대화가 Elastic Security 그 이상의 것에 액세스할 수 있을 때 더욱 커집니다. 실제 SOC 워크플로우에서는 하나의 알림이 여러 시스템에 걸친 질문으로 이어지는 경우가 많습니다. Kibana의 사례, Slack의 스레드, Jira의 문제, 클라우드 인프라 로그 등 말입니다. 기존에는 분석가가 이러한 각 도구를 수동으로 피벗하여 한 번에 한 탭씩 컨텍스트를 조합했습니다.
상담원은 Slack, Jira 및 클라우드 플랫폼용 MCP 서버와 연결된 Security MCP 앱을 통해 하나의 대화로 전체 상황을 파악할 수 있습니다. 케이스와 첨부된 경고를 검토하고, 관련 중단 또는 계획된 변경 사항에 대해 Slack 채널을 상호 참조하고, 알려진 문제를 Jira에서 확인하고, 근본 원인, 이미 취한 조치 및 미해결 작업을 포함하는 포렌식 요약을 작성하는 등 분석가가 하나의 메모를 작성하기 전에 모든 것을 한 번에 처리할 수 있습니다. 분석이 검토되고 승인되면 에이전트는 Kibana 사례에 대한 구조화된 의견, 관련 Slack 채널에 게시된 요약, 컨텍스트가 첨부된 닫힌 알림 등 결과를 다시 작성합니다.
클라우드 기반 알림도 같은 방식으로 혜택을 제공합니다. 클라우드 환경의 이상한 활동은 종종 알려진 중단 또는 이미 Slack 또는 Jira에서 논의 중인 인프라 변경으로 밝혀집니다. 상담원은 몇 초 만에 이러한 소스를 확인하고 전후 맥락을 파악한 후 설명과 함께 알림을 종료하거나 이미 첨부된 전체 그림을 첨부하여 에스컬레이션할 수 있습니다.
Elastic Security용 MCP 앱은 자동화된 탐색과 수동 탐색 사이의 간극을 메워줍니다. 보안 데이터를 Claude Desktop의 단일 인터페이스로 직접 가져옴으로써 표준 경고를 트리거하지는 않지만 즉각적인 조치가 필요한 '조용한' 위협을 1시간 이내에 발견할 수 있었습니다. 이는 분석가들에게 큰 힘이 됩니다. - Mandy Andress, 최고 정보 보안 책임자(CISO), Elastic
작동 방식
각 MCP 앱은 모델에 대한 간결한 텍스트 요약과 호스트가 인라인으로 렌더링하는 React UI를 모두 반환하는 도구가 있는 작은 Node.js 서버입니다. 서버는 LLM이 호출하는 모델 대면 도구(추론을 위한 경량 요약 반환)와 UI가 프로세스 트리 확장 또는 ES|QL 쿼리 실행과 같은 상호 작용을 위해 백그라운드에서 호출하는 앱 전용 도구라는 두 가지 계층을 노출합니다. 각 뷰는 샌드박스가 적용된 iframe에서 렌더링되는 독립적인 React 앱입니다. 개방형 MCP 앱 사양을 기반으로 구축되었으므로 호환되는 모든 호스트에서 동일한 서버가 실행됩니다. 전체 설계는 리포지토리의 아키텍처 문서를 참조하세요.
에이전트형 SOC, 대화형
이 패턴에 대한 두 가지 속성을 직접 언급할 가치가 있습니다. 첫째, 도구 결과는 더 이상 작업의 끝이 아니라 시작입니다. 대화는 행동해야 하는 요약이 아니라 행동할 수 있는 인터페이스를 반환합니다. 둘째, 이것은 Elasticsearch와 Kibana가 이미 보안 API를 노출하고 있기 때문에 작동합니다. MCP 앱은 Elastic Security가 이미 제공하는 탐지, 조사 및 사례 관리 기능 위에 얇은 대화형 계층을 추가한 것입니다.
공격 발견은 이미 이 앱 내에서 상관관계가 있는 결과 보기를 지원합니다. 스택 내부에서는 동일한 에이전트 패턴이 더 나아갑니다: 결정론적 단계(엔티티 강화, 사례 생성, 호스트 격리)는 Elastic Workflow가 자동화하고, 에이전트 빌더는 데이터를 추론하여 이러한 워크플로우를 도구로 호출합니다. MCP 앱은 동일한 보안 표면을 외부 대화로 가져오고, 워크플로와 에이전트 빌더는 스택 내부에서 보안을 강화합니다. 다른 엔트리 포인트, 그 아래에는 동일한 Elastic Security API가 있습니다.
이러한 아키텍처 선택은 의도적인 것입니다. MCP 서버는 분석가 자신의 컴퓨터에서 실행되며 API 키를 사용해 Elasticsearch에 직접 연결됩니다. LLM은 추론을 위한 간결한 요약만 수신하는 반면, UI는 동일한 서버를 통해 전체 조사 데이터를 독립적으로 로드합니다. 이 기능은 도입해야 하는 종속성이나 다시 구축해야 하는 거버넌스 모델 없이 이미 Claude, VS Code 또는 Cursor에서 작업 중인 분석가를 위한 서피스를 추가합니다. Elasticsearch API 키를 통해 시행하는 것과 동일한 역할 기반 액세스 제어가 앱이 수행하는 모든 작업에 적용되므로, 분석가들이 도구를 전환하는 시간을 줄이고 케이스를 종결하는 데 더 많은 시간을 할애할 수 있다는 운영 결과가 바로 나타납니다.
Elastic Security MCP 앱 체험하기
Elastic Security MCP 앱에는 보안이 활성화된 Elasticsearch 9.x와 사례, 규칙 및 공격 탐색을 위한 Kibana가 필요합니다. 가장 빠른 경로는 최신 릴리즈의 원클릭 .mcpb 번들입니다. Claude Desktop에서 이 번들을 두 번 클릭하면 Elasticsearch URL과 API 키를 입력하라는 메시지가 표시됩니다. 커서, VS 코드, 클로드 코드, 클로드.ai 및 소스에서 빌드하기 위한 설정 가이드는 리포지토리에 있습니다.
아직 Elasticsearch 클러스터가 없으신가요? 무료 Elastic Cloud 체험판을 시작하세요. 앱의 기본 구성 요소에 대한 자세한 내용은 Elastic 워크플로우와 에이전트 빌더, 에이전트 기술, 공격 탐색에 대한 관련 보안 연구소 포스팅을 참조하세요.
이 게시물에서 설명된 기능이나 성능의 출시와 일정은 Elastic의 단독 재량에 따라 결정됩니다. 현재 제공되지 않는 기능이나 성능은 예정된 시간에 출시되지 않을 수도 있으며 아예 제공되지 않을 수도 있습니다.