Elasticsearch 보안위협탐지 SIEM 활용 사례
현재 재직중인 보안팀에서는 SIEM 기능으로 elasticsearch를 사용하고 있습니다. elasticsearch는 다양한 이기종 보안 로그를 한 곳으로 통합하여 인덱싱하여 SIEM(로그통합솔루션)으로 활용할수있습니다. 특히, 실시간 보안 위협으로부터 수십 수 만 건에 달하는 보안 이벤트에 대해 중요한 보안 로그 이벤트를 elasticsearch query를 통해 중요도 우선 순위를 정하여 필터 할 수 있는데요 whatcher나 혹은 elktail과 같은 오픈소스를 접목하여 보안 위협 이벤트에 … 더 읽기