Elastic Security

엘라스틱이 제공하는 통합 보안솔루션 Elasitc Security 중에서

보안 정보 및 이벤트 관리(SIEM)에 중점을 두고있는 SIEM에 대한 소개서입니다 .

엘라스틱 SIEM 웨비나 다시보기

 Elastic Security

Unified protection
from the creators
of the Elastic Stack
Elastic Security는 인프라 전반에
걸친 보안 위협을 실시간으로 예방,
수집, 탐지, 그리고 대응하기 위한
SIEM과 endpoint security의 통합
솔루션

2
Elastic SIEM 은
Elastic Stack을 기반으로
Host 및 네트워크의 보안위협을
통합 탐지/대응 할 수 있는
Threat Hunting Platform 입니다
 Elastic SIEM 기능
Same data. Different questions.
쉽고 빠른 데이터 수집 및 구조화
● 미리 빌드된 Beats로 광범위한 데이터 소스 수집
가능 (클라우드, 네트워크, 엔드포인트 , APM 등)
● Elastic Common Schema (ECS)를 활용한 다양한
형태의 데이터 표준화 및 구조화 지원

Analytics
● Elastic ML (머신러닝)기반 anomaly detection
으로 예상치 못한 이상징후 까지 탐지 가능
● 경고(Alerting) 기능으로 실시간 업데이트 지원
● 규모별 실시간 쿼리(Ad-hoc queries at scale)
● Kibana 그래프를 활용한 분석

Detect, hunt, investigate

● 자동화된 보안 공격 탐지
● 능동적인 보안 위협 감지
● 신속한 보안 이벤트 심사 및 조사

Speed & Scale

● 단 몇 초만에 적용 가능한 임시 쿼리
● 페타바이트 단위로 처리 가능한 보안 데이터
4
경량 데이터 수집기 Beats
&
데이터 표준화를 위한 ECS
 Auditbeat
● System module (Linux, macOS, Win.): packages,
processes, logins, sockets, users and groups
● Auditd module (Linux Kernel Audit info)

통합 큐레이션 ● 파일 형상 모니터링 (Linux, macOS, Win.)

호스트 Filebeat
● System logs (auth logs) (Linux)
데이터 ● OSquery

미리 빌드된 Beats 통합으로, 엔드포인트,

네트워크 기기, 애플리케이션의 데이터를 Winlogbeat
빠르게 수집하세요
● Windows event logs
● Sysmon
 Packetbeat
● Flows
● DNS, TLS, HTTP
● 그외의 다른 protocols
통합 큐레이션
Filebeat
네트워크 ● IDS/IPS/NSM modules: Zeek NSM, Suricata IDS
● Firewall modules: Cisco ASA, Palo Alto
데이터 Networks, Ubiquiti IPTables
● Netflow and IPFIX
미리 빌드된 Beats 통합으로, 엔드포인트,
네트워크 기기, 애플리케이션의 데이터를 ● Kubernetes modules: CoreDNS, Envoy proxy
빠르게 수집하세요
● Google Cloud VPC Flow Logs (7.3)
Elastic Common Schema (ECS)
통합 분석을 위한 데이터 표준화

Elasticsearch 로 색인되는 데이터의

공용 필드 및 오브젝트 정의

다양한 데이터 소스간의 교차 분석

가능

확장성 을 고려한 설계

ECS 는 GA 버전이며 Elastic Stack

전반에 적용되어 있음

컨트리뷰션과 피드백은
https://github.com/elastic/ecs
을 통해 제출