AI로 공격 속도가 빨라졌습니다. SIEM 플랫폼이 따라잡아야 합니다.

SIEM(보안 정보 및 이벤트 관리)은 보안 운영의 중심에 있는 플랫폼입니다. 환경 전반에서 데이터를 수집해 상관 분석하고, 위협을 탐지하며, 분석가에게 조사 및 응답에 필요한 가시성을 제공합니다. 최신 SIEM은 에이전틱 보안 운영 플랫폼으로 진화하여 전체 SOC 수명 주기에서 AI 기반 탐지, 자동화된 조사, 기본 응답 기능을 통합하여 자율 에이전트가 작업을 처리하고 분석가가 판단을 내리는 에이전틱 보안 운영 플랫폼으로 발전했습니다.

Elastic은 이미 통합 SIEM과 XDR을 포함하는 에이전틱 보안 운영 플랫폼입니다. 자율 에이전트가 알림 상호 연관성, 엔티티 조사, 응답 계획 준비 등, 수집부터 응답까지 전체 수명 주기를 처리합니다. 정의된 작업을 위한 스크립트화된 플레이북, 복잡한 조사를 위한 에이전트 추론 등 Elastic Workflows를 통한 기본 자동화가 응답을 실행합니다. Elastic AI 에이전트는 모든 SOC 단계를 위해 특별히 구축된 스킬을 기본으로 제공합니다. 분석가는 판단, 검증, 승인을 처리합니다.

AI 스킬은 AI 에이전트에게 위협 헌팅, 알림 분석, 탐지 엔지니어링, 엔티티 분석 등 특정 보안 작업을 수행하는 방법을 가르치는 특수 목적의 기능입니다. 범용 AI와 달리 스킬은 SOC 분석가가 매일 실행하는 구체적인 워크플로우를 위해 설계되었습니다. 각 스킬은 단일 작업에 대한 전문화된 지침과 도구를 패키지로 제공하며, 필요할 때만 로드되므로 에이전트가 시스템 프롬프트에 과부하가 걸리지 않고 가볍고 정확하게 유지됩니다. 또한 각 스킬은 함께 작동하며 알림 분석은 엔티티 분석으로, 위협 헌팅은 탐지 파이프라인에 피드를 제공하므로 분석가가 각 핸드오프를 관리할 필요가 없습니다. 하나의 에이전트가 매번 올바른 스킬을 제공합니다.

Elastic은 Elastic AI 에이전트를 통해 별도의 구성 없이 바로 사용할 수 있는 보안 스킬을 제공합니다. 기본 제공되는 보안 스킬에는 위협 추적, 알림 분석, 탐지 엔지니어링, 엔티티 분석, 이상 징후 조사가 포함됩니다. 대시보드 생성, 워크플로우 작성, 그래프 작성을 위한 플랫폼 스킬도 제공되므로 대화를 통해 대시보드를 구축하고, 자동화를 작성하고, 공격 경로를 시각화할 수 있습니다. 스킬은 서로 자동으로 호출되며 워크플로우 또는 에이전트 빌더를 통해 온디맨드로 실행됩니다. 팀에서 환경에 맞는 사용자 정의 스킬을 구축할 수도 있습니다. 스킬은 Elastic Security 내부에서 또는 Claude, Cursor, VS Code를 비롯한 모든 MCP 호환 AI 도구에서 액세스할 수 있습니다. 모든 추론 단계가 표시되고 감사 가능합니다.

Elastic Security는 Claude, Cursor, VS Code, GitHub Copilot 등 MCP 호환 AI 도구에서 사용할 수 있습니다. 분석가는 현재 사용 중인 AI 도구에서 나가지 않고도 Elastic Security MCP 앱을 통해 알림을 분류하고, 위협 탐색을 실행하고, 사례를 관리하고, 탐지 규칙과 상호 작용할 수 있습니다. Elastic Security 내에서 사용할 수 있는 기능을 모두 외부에서도 사용할 수 있습니다. 보안 작업은 전용 콘솔에 국한되지 않고 분석가가 있는 곳 어디에서든 수행할 수 있습니다.

네. Elastic Workflows는 보안 데이터가 SIEM에 포함된 Elastic Security에 네이티브 자동화를 직접 제공합니다. 모든 알림과 조사에 걸쳐 분류, 강화, 응답, 알림, 사례 관리를 자동화합니다. 워크플로우는 AI 에이전트가 발견한 내용에 따라 조치를 취할 수 있도록 정의된 작업을 위한 스크립트 자동화와 복잡한 조사를 위한 에이전트 추론을 결합합니다. SOAR를 별도로 구매, 통합 또는 유지 관리할 필요가 없습니다. 활성 인시던트 중에 통합이 중단되지 않습니다.

Elastic은 SIEM, XDR 및 네이티브 자동화를 통합하는 지능형 보안 운영 플랫폼입니다. 탐지 규칙은 Elastic Security Labs에서 개발하고, 커뮤니티에서 검증하며, 공개 검토됩니다. 이 플랫폼은 온프레미스, 클라우드 또는 에어갭 환경에서 데이터를 이동하지 않고도 배포할 수 있습니다. 기존 SIEM이 Endpoint, 자동화, AI 및 데이터 액세스에 구조적 부담을 가하는 반면, Elastic은 이러한 부담을 없애도록 설계되었습니다.

레거시 보안 플랫폼은 SOC 팀에 네 가지 구조적 비용을 부담시킵니다. 적대적 AI 등장 이전에는 비효율성으로 여겨지다가 이제는 리스크가 된 비용과 장벽입니다.

• 엔드포인트 비용: 기기당 가격 책정으로 인해 커버리지 트레이드오프를 강요합니다. 팀은 전체 커버리지 비용이 너무 높다는 이유로 엔드포인트를 모니터링하지 않는 경우가 많습니다. Elastic은 장치당 요금 없이 XDR 및 엔트포인트 텔레메트리를 포함하여 모든 Endpoint를 커버하며, 가격 모델에 의해 커버리지가 결정되지 않습니다.
• 자동화 비용: SIEM에서 조치를 취하려면 별도의 SOAR 라이선스가 필요합니다. Elastic Workflows는 플랫폼에 기본적으로 포함되어 있어 별도의 제품을 구매, 통합 또는 유지 관리할 필요가 없습니다.
• AI 블랙박스 비용: 독점 AI는 추론 과정을 밝히지 않으므로 팀이 AI의 결정을 검증할 방법이 없습니다. Elastic의 AI는 투명하며 모든 결정의 프롬프트, 쿼리 및 추론을 확인할 수 있습니다. 에어갭 환경을 위한 온프레미스 모델을 포함한 모든 LLM을 지원합니다.
• 데이터 비용: 조사를 진행하는 중에 리하이드레이션 지연 및 수집 상한선으로 인해 과거 데이터를 사용할 수 없습니다. Elastic은 데이터가 있는 위치에서 쿼리를 실행하며, 라이브 데이터와 동일한 쿼리에서 수년간의 과거 데이터를 검색할 수 있습니다. 리하이드레이션를 기다릴 필요도 없으며, 페널티도 없습니다.

이 네 가지 비용(엔드포인트, 자동화, AI 블랙박스, 데이터)은 보안 운영을 단편화하고 공격자가 악용할 수 있는 격차를 만드는 구조적 장벽을 형성합니다. Elastic은 이 모든 장벽을 제거하도록 설계되었습니다.

네. Elastic은 온프레미스, 클라우드 또는 에어갭 환경에 배포할 수 있으며 데이터 이동이 필요하지 않습니다. 페더레이티드 검색은 중앙 집중화된 데이터 없이 분산된 배포 전반에 걸쳐 쿼리를 실행합니다. AI 추론은 에어갭 환경의 온프레미스 LLM을 지원하며, 공급업체의 클라우드 모델에 종속되지 않습니다. Elastic Cloud는 PCI DSS, HIPAA, FedRAMP, GDPR 및 TISAX를 포함한 인증을 보유하고 있습니다(전체 문서는 신뢰 센터에서 확인 가능). 이 덕분에 Elastic은 엄격한 데이터 상주 및 규정 준수 요구 사항이 있는 방위, 정부 및 규제 산업을 위한 최적의 플랫폼으로 자리잡았습니다.

Elastic은 400개 이상의 사전 구축된 통합과 최대 1,000개의 보안 및 데이터 소스 통합을 지원합니다. 새로운 소스가 연결되면 플랫폼이 데이터 유형을 식별하고, 스키마를 자동으로 매핑하며, 탐지 규칙을 추천하므로 파이프라인 엔지니어링이 필요하지 않습니다. ECS와 OCSF에서 범용 스키마를 지원하므로 탐지를 한 번 작성해 여러 소스에서 사용할 수 있습니다. OpenTelemetry를 통해 전송된 데이터는 기본적으로 지원됩니다.