Elasticsearch 보안위협탐지 SIEM 활용 사례

현재 재직중인 보안팀에서는 SIEM 기능으로 elasticsearch를 사용하고 있습니다. elasticsearch는 다양한 이기종 보안 로그를 한 곳으로 통합하여 인덱싱하여 SIEM(로그통합솔루션)으로 활용할수있습니다.

특히, 실시간 보안 위협으로부터 수십 수 만 건에 달하는 보안 이벤트에 대해 중요한 보안 로그 이벤트를 elasticsearch query를 통해 중요도 우선 순위를 정하여 필터 할 수 있는데요 whatcher나 혹은 elktail과 같은 오픈소스를 접목하여 보안 위협 이벤트에 대하여 알람 통보를 할 수 있습니다.

Elasticsearch SIEM 활용 사례

email, slack, api, file 등 다양한 형태로 output 결과를 전송 할 수 있습니다. 본문 내용과 같은 사례를 통해 어떤 장점이 있는지 자세하게 알아보도록 하겠습니다.

보안 팀은 잠재적인 위협을 식별하고 신속하게 대응하기 위해 대규모 데이터 세트를 선별해야 하는 등 일상 업무에서 많은 과제에 직면해 있습니다. 그리고 그들의 무기고에는 많은 도구가 있지만, 이러한 도구와 인터페이스를 전환하는 것은 그들의 부담을 가중 시킬 수 있습니다. 다행히 통합이 가능해지면 툴과 기능의 통합이 가능해집니다.

Elasticsearch는 모든 유형의 데이터에 대해 거의 실시간 검색 및 분석 기능을 제공하는 분산 엔진입니다. 또한 보안 운영 센터(SOC) 및 SecOps 팀에서 SOAP 기능과 함께 사용하여 잠재적 위협을 빠르고 효과적으로 식별하고 조사할 수 있습니다.

Elastic Search SIEM은 보안 팀이 네트워크 장치, 서버 및 애플리케이션을 비롯한 여러 소스의 보안 데이터를 수집, 저장 및 분석할 수 있도록 지원하는 기능도 있습니다.

또한 보안 팀이 운영을 자동화하고 능률화할 수 있도록 지원합니다. XSOAR을 통해 팀은 많은 수동 프로세스를 자동화하고 일상적인 작업에 소요되는 시간을 줄여 더 중요한 작업에 집중할 시간을 확보할 수 있습니다. 협업은 매우 중요하며, 간소화된 워크플로우는 팀이 정보를 공유하고 협력하여 사고에 대응함으로써 보다 효과적으로 협업 할 수 있고 업무 효율성을 증대 시킬 수 있습니다.

Elasticsearch 를 통해 다음과 같이 매월 보안위협에 대한 트렌드 분석도 쉽고 편하게 보고서 형태로 만들 수도 있습니다. 예를들자면, 총 보안 이벤트 탐지 건수, 가장 많이 탐지된 출발지 IP, 목적지 IP, 공격명 TOP10, 공격 국가 TOP 리스트, 공격 프로토콜 TOP 리스트등 보안 위협에 대한 다양한 트렌드 분석을 진행 할 수 있습니다.

결론

본문 내용과 같이 Elasticsearch 스택을 보안 위협 분석시 SIEM 용도로 실무에서 활용 한다면 사이버 보안 위협에 대한 리스크를 감소시킬 수 있고 보안팀의 입장에서는 실시간 대응에 대한 효율성을 높이는 동시에 kibana와 같은 대시보드를 통해 전체 보안 위협에 대한 가시성을 확보 할 수있습니다.

현재 엘라스틱 버전은 8.x대가 출시되었습니다. 개인적으로 다소 아쉬움이 있다면 Kibana UI가 예전 버전에 비해 너무 복잡하고 일부 중요한 기능들은 Basic 라이선스에서는 사용 할 수 없다는 것이 매우 아쉬운 부분입니다.

또한, 7.x대 버전부터는 엘라스틱 스택간 통신은 SSL을 기본 활성화 해야하기 때문에 신규 구축시 환경설정 부분에서 다소 어려움이 있습니다. 필자 또한 SSL 설정 때문에 수많은 시행착오를 겪었습니다.

SSL 설정 관련 인증서 부분과 master, data 노드등 연동시 초기 구축 할때 매우 어려움을 느낄수도있습니다. 하지만, 지원 가이드 문서나 레퍼런스 문서들이 많습니다. 트러블슈팅 과정중 기술 지원 문서들을 자세하게 읽어보면 해결책은 반드시 있으니 너무 두려워 하지 마시고 신규 버전으로 업데이트 하시는 것이 여러모로 운영 시 장점이 많을 것입니다.