Elastic Common Schema

Elasticsearch에서 데이터 구조화

Elastic Common Schema(ECS)는 Elasticsearch에서 데이터를 구조화할 수 있는 일관된 방법을 제공하므로 다양한 소스의 데이터를 쉽게 분석할 수 있습니다. ECS를 사용하면 대시보드 및 탐지 규칙과 같은 분석 콘텐츠를 좀 더 폭넓게 적용할 수 있고, 검색 범위를 더욱 좁힐 수 있으며, 필드 이름을 더욱 쉽게 기억할 수 있습니다.

Elasticsearch 시작하기: 무료 개방형 Elastic Stack으로 저장, 검색 및 분석
동영상 보기
ELK 소개: Kibana에서 로그, 메트릭, 데이터 수집 및 사용자 정의 가상화 시작하기
동영상 보기
Elastic Cloud 시작하기: 첫 번째 배포 시작
자세히 보기

공통 스키마를 사용해야 하는 이유

대화형 분석(검색, 드릴다운, 피버팅, 시각화 등)을 수행하든 자동화 분석(경보, 탐지 규칙 및 머신 러닝에 기반한 이상 징후 탐지 등)을 수행하든, 데이터를 일관되게 분석할 수 있어야 합니다. 그러나 데이터가 하나의 소스에서만 생성되지 않는 한, 서로 다른 데이터 유형 및 다양한 공급업체 표준을 사용하는 이기종 환경으로 인해 형식 불일치에 직면하게 됩니다.

ECS란 무엇인가?

ECS는 공통 필드 세트, Elasticsearch 데이터 유형, Elasticsearch로 수집된 데이터에 대해 허용되는 값 및 사용 계층 구조를 정의하는 커뮤니티 기반의 오픈 소스 사양입니다. ECS는 검색, 드릴다운, 피봇팅, 데이터 시각화, 머신 러닝 기반의 이상 징후 탐색, 탐지 규칙, 경보 등 Elastic에서 이용할 수 있는 모든 분석 모드를 통합합니다.

Screenshot of ECS

간소화된 콘텐츠 개발

ECS는 분석 콘텐츠 개발에 소요되는 시간을 단축시켜 줍니다. 조직에서 새 데이터 소스를 추가할 때마다 매번 새로운 검색과 대시보드를 만드는 대신, 기존의 검색과 대시보드를 계속 활용할 수 있게 됩니다. 또한 ECS를 사용하면 Elastic이나 파트너, 오픈 소스 프로젝트의 구분 없이 ECS를 사용하는 다른 대상의 분석 콘텐츠를 훨씬 더 쉽게 사용자 환경에 직접 도입할 수 있습니다.

Screenshot of ECS simplified content

Okta Brute Force Attack detection rule based on ECS

Elastic 통합

Elastic은 애플리케이션, 엔드포인트, 인프라, 클라우드, 네트워크, 업무 도구, 에코시스템에 있는 다른 모든 공통 소스에서 로그, 이벤트, 메트릭, 추적, 콘텐츠 등을 스트리밍할 수 있는 즉시 사용 가능한 통합 기능을 제공합니다. 이러한 통합을 통해 Elastic Stack의 다른 영역 중 SecurityObservability와 같은 Elastic 솔루션 내에서 데이터와 상호 작용할 수 있습니다.
 
이러한 통합에서 수집된 데이터는 이미 ECS에 매핑되어 있습니다. 통합을 활성화하고 데이터를 수집하기만 하면 ECS 형식의 데이터와 상호 작용을 시작할 수 있습니다.

데이터를 ECS에 매핑

Elastic 통합은 데이터를 ECS에 자동으로 매핑하지만, ECS로 정규화하여 이점을 활용하고자 하는 다른 데이터 소스가 있을 수도 있습니다. 데이터를 ECS에 매핑하는 데 도움이 되는 많은 옵션이 있습니다. 이 블로그 게시물은 보안 데이터 소스를 ECS에 매핑할 수 있는 좋은 예를 제공합니다.

ECS 살펴보기

ECS는 커뮤니티 피드백을 기반으로 정기적으로 업데이트되어 새로운 사용 사례를 해결하며 진화하는 스키마입니다.

더 자세히 알아보고 싶으신가요? Elastic.co 또는 ECS 리포지토리에서 ECS 설명서를 찾아보세요.  

질문이나 제안이 있으신가요? Elastic 토론 포럼을 방문하거나, ECS 커뮤니티 Slack 채널에 참여하거나, ECS 리포지토리에서 문제를 열어보세요.