SOC 리더는 매일같이 앞뒤가 맞지 않는 기본 수학과의 싸움에 직면합니다. 데이터 양은 기하급수적으로 증가하고 공격 표면은 전 세계적으로 확장되고 있지만 팀의 역량은 선형적인 수준에 머물러 있습니다. 이 문제에서 벗어날 수 있는 방법은 없습니다.
개별 알림을 추적하는 것은 실패하는 전략입니다. 성공하려면 단순한 자동화 스크립트를 넘어 에이전트 AI의 시대로 나아가야 합니다.
Elastic에서는 현대의 보안 운영을 운영 신경계로 보고 있습니다. 센스(모든 것을 볼 수 있는 데이터 기반), 브레인 🧠(소음 속에서 신호를 찾아내는 AI 기반 분석), 핸즈 🙌(작업을 실행하고 결과를 도출하는 워크플로우)가 필요합니다.
에이전트 빌더와 Elastic 워크플로우를 도입하면서 이러한 요소를 통합하고 있습니다. 단순히 챗봇을 제공하는 것이 아니라 에이전트가 데이터를 추론하고 워크플로우가 양방향으로 정교한 작업을 실행하는 자율적인 SOC를 구축할 수 있는 기능을 제공합니다.
이 두 가지 강력한 엔진이 함께 작동하여 보안 운영을 혁신하는 방법은 다음과 같습니다.
"두뇌" 및 "손" 함께 일하는 힘
이 조합이 왜 중요한지 이해하려면 각자의 역할을 구분해야 합니다.
- Elastic 워크플로우(손): 이들은 결정론적입니다. 딱딱하고 반복 가능한 프로세스에 적합합니다."X가 발생하면 Jira 티켓을 만들고, Slack을 핑하고, 호스트를 격리하세요." 구조, 감사 가능성 및 신뢰성을 제공합니다.
- 에이전트 빌더(더 브레인): 에이전트는 확률 및 추론 기반입니다. 환경을 인식하고 일련의 단계를 계획하고 적응합니다. 상담원은 모호한 위협 보고서를 보고 증거를 찾기 위해 어떤 쿼리를 실행할지 결정할 수 있습니다.
이전에는 딱딱한 플레이북이나 수동 조사 중 하나를 선택해야 했으나, 이제는 서로 상호작용할 때 마법이 일어 납니다. 이제 워크플로는 자동화 루프 중에 상담원을 호출하여 복잡한 분석을 수행할 수 있으며, 상담원은 채팅 중에 워크플로를 도구로 호출하여 안정적이고 무거운 작업을 수행할 수 있습니다.
이것이 아닌 것
분명히 말씀드리지만, 애널리스트를 교체하는 것이 아닙니다. 실제로 중요한 일을 하지 못하게 하는 수고로움을 없애는 것, 즉 어떤 모델도 흉내 낼 수 없는 창의적이고 적대적인 사고를 하는 것입니다. 목표는 사후 대응적인 로그 추격자에서 사전 예방적인 위협 사냥꾼으로 팀을 전환하는 것입니다. 상담원은 잡다한 업무를 처리하고, 귀사의 담당자는 판단을 내리는 일을 처리합니다.
사용 사례: 경보 시 자동화된 분류
사람의 개입 없이 경고부터 분석까지
랜섬웨어 공격과 관련된 실제 시나리오를 살펴보겠습니다(예: 서비스형 랜섬웨어인 BlackCat/ALPHV ). 기존 설정에서는 경보가 발생하고 분석가가 로그를 수집하고 바이러스 총계를 확인하며 요약을 작성하는 데 30 몇 분을 소비합니다.
Elastic을 사용하면 분석가가 노트북을 열기 전에 이 전체 분류 단계가 자동화되어 평균 분류 시간이 30 분에서 2 분 이하로 단축됩니다.
워크플로:
- 트리거: 공격 검색은 일정에 따라 실행되며 15 서로 다른 경고를 하나의 고충실도 공격 체인으로 연결합니다.
- 워크플로 단계(강화): 워크플로는 자동으로 트리거되며 호스트, 사용자, 파일 해시 등 관련된 모든 엔터티를 반복합니다. VirusTotal과 같은 위협 인텔리전스 소스에 대해 조회를 실행합니다.
- 워크플로 단계(에이전트 호출): 워크플로에서는 이 데이터 번들을 특정 "분류 에이전트에게 전달합니다. "
- 에이전트 실행: 에이전트는 단순히 데이터를 복사하여 붙여넣기만 하는 것이 아닙니다. 공격 체인을 추론하고, MITRE ATT&CK 프레임워크와 비교하고, 관련 로그를 상호 연관시키고, Tier 2 분석가에게 맞춤화된 사람이 읽을 수 있는 조사 요약을 생성합니다.
- 결과: 워크플로에서는 이 AI가 생성한 분석을 심각도 점수, 심층 조사, 근본 원인 분석 및 권장 다음 단계로 완성된 새 사례에 바로 게시합니다.
사용자 영향: 분석가는 원시 로그를 쫓는 것이 아니라 완전히 컨텍스트화된 사례를 검토하는 것으로 하루를 시작합니다.
사용 사례: "휴먼인더루프" 조사
자연어를 결정론적 행동으로 전환하기
분석가가 조사를 시작하면 대기 중인 사람을 찾거나, 워룸을 설정하거나, 경영진에게 알리는 등 흐름을 끊는 관리 작업을 수행해야 하는 경우가 많습니다.
Elastic Security에서 분석가는 채팅 인터페이스에 머물러 있습니다. 워크플로를 상담원을 위한 도구로 정의할 수 있으므로 분석가는 간단히 상담원에게 물류를 처리하도록 요청할 수 있습니다.
워크플로:
- 분석가 프롬프트: "사건이 확인되었습니다. 누가 대기 중인가요? 이 인시던트에 대한 Slack 채널을 만들고 초대하세요."
- 상담원 추론: 상담원이 인시던트가 미리 구성한 "인시던트 대응 설정" 워크플로 도구와 일치한다는 것을 인식합니다.
- 워크플로 실행:
- 1단계: 대기 중인 엔지니어를 찾기 위해 PagerDuty 통합을 쿼리합니다.
- 2단계: Slack API를 호출하여
#incident-[id]이라는 이름의 채널을 만듭니다. - 3단계: 해당 채널에 초기 사례 요약을 게시합니다.
- 결과 상담원이 분석가에게 다음과 같이 확인합니다. "채널 #incident-982를 만들고 채널에 Jane Doe(대기 중)를 추가했습니다."
사용 사례: 가이드 수정 및 격리
빠른 속도로 정밀한 응답
위협을 억제해야 할 때는 속도도 중요하지만 안전도 중요합니다. 방화벽에 대한 API 호출을 "" 환각하는 LLM을 원하지 않으실 겁니다. 에이전트 + 워크플로우 조합이 안전을 위해 빛을 발하는 부분입니다.
워크플로:
- 분석가 프롬프트: "블랙캣 알림에 관련된 호스트를 격리합니다."
- 에이전트 추론: 에이전트가 조사 컨텍스트에서
host123호스트를 식별합니다. "호스트 격리" 워크플로우를 호출하는 계획을 만듭니다. - 결정 시점: 에이전트가 사용자에게 계획을 제시합니다: "Elastic Defend를 통해 host123의 '호스트 격리' 워크플로우를 트리거하려고 합니다."
- 워크플로우 실행: 결정론적 워크플로는 Elastic Defend(XDR)를 통해 격리 명령을 실행하여 엔지니어링 팀에서 정의한 대로 정확하게 작업이 기록되고 수행되도록 합니다.
- 결과: 호스트는 즉시 격리됩니다.
사용자 영향력: 하드코딩된 자동화의 안전 및 감사 추적과 함께 자연어 상호 작용의 편리함을 누릴 수 있습니다.
유연한 AI 채팅과 딱딱한 SOAR 플레이북 중 하나를 선택해야 하는 세상에서 벗어나고 있습니다. 미래는 이 두 가지가 불가분의 관계에 있는 자율형 SOC입니다.
에이전트 빌더를 사용해 특정 환경을 이해하는 사용자 정의 에이전트를 생성하고(자체 데이터와 함께 RAG를 사용) 도구로 Elastic Workflows를 장착하면 팀의 역량을 효과적으로 배가하고 전문성을 확장할 수 있습니다. 단순히 챗봇을 배포하는 것이 아니라, 사용자의 런북을 알고 사용자의 권한을 존중하며 연중무휴 24시간 근무하는 가상 팀원을 배포하는 것입니다.
상담원 빌더를 시작하는 방법에 대한 자세한 내용은 이 블로그를 참조하세요.
상담원 빌더 및 워크플로는 현재 기술 미리 보기로 제공됩니다. Elastic Cloud 체험판으로 시작하고, 여기에서 에이전트 빌더 설명서를, 여기에서 워크플로우 설명서를 확인하세요.