태그 보관물: #elasticsearch

엘라스틱서치(Elasticsearch) SIEM 설치

정보보안 통합 솔루션 플랫폼을 이용해 애플리케이션 로그, 시스템 로그, 보안 솔루션 로그 등 다양한 이기종 장비에 대한 통합 분석이 가능하다. 보안 업무 수행 시 가장 많은 리소스를 소모하는 과정은 사고 발생 조사 과정에서 보안 이벤트 분석이다. 단편적으로 남아 있는 보안 로그를 사고 분석가나 관제팀에서 추적하면 연결고리를 찾아 분석하기 때문에 시간이 많이 소요된다. 대규모 사고 발생 시 사고분석에 오랜 시간이 걸리는 원인도 이러한 로그를 찾아 추적하고 분석하는데 시간이 많이 소요되기 때문이다.

SIEM 제품과 같은 통합 보안 솔루션은 다양한 보안로그와 시스템로그를 통합해 이상 탐지 및 사이버 보안 위협 탐지 기능을 제공한다. 대표적인 통합 플랫폼인 Elasticsearch Security 제품의 무료버전을 설치해 보자. 트라이얼 기능을 이용해 임시로 유료 기능도 활용해 볼 수 있다.

Elasticsearch Security 플랫폼은 XDR 플랫폼으로서 엔드포인트 컴포넌트인 EDR 에이전트와 중앙관리 서버(Fleet)를 포함해서 다음과 같이 구성된다. Elasticsearch 엔진과 Kibaba(키바나), 플릿(Fleet) 서버를 통해 XDR 플랫폼으로 실시간 보안 위협 탐지와 예방, 대응 기능을 제공한다.

https://www.elastic.co/docs/reference/fleet/add-fleet-server-on-prem

플랫폼을 구성을 위해서 가장 먼저 핵심 엔진인 Elasticsearch 패키지를 설치한다. 설치 파일은 웹 사이트에서 다운받아 설치한다.[1]

[1] https://www.elastic.co/docs/deploy-manage/deploy/self-managed/installing-elasticsearch

윈도우, 리눅스 계열 운영체제에 따라 필요한 설치 파일을 다운받아 설치를 진행한다. 우분투 기반의 운영체제에서 데비안 패키지 파일을 이용해 설치하는 과정을 살펴 본다. 설치 후 30일 동안 트라이얼 라이센스를 적용하면 모든 기능을 활용하거나 테스트할 수 있다. 설치 가이드 설명을 참고해서 데비안 패키지 파일을 다운로드 받는다. 설치 환경에 따라 설치 패키지 파일명이 다르다. 맥운영 체제 기반의 가상 환경에서 설치를 하기 위해 amd64 버전이 아닌 arm64 버전의 설치 파일을 다운로드 받았다. 설치 시 플랫폼에 따라 필요한 설치 파일은 링크[1]에서 직접 확인 후 다운로드 가능하다.

[1] https://www.elastic.co/downloads/elasticsearch

설치 파일 다운로드가 완료되면 패키지 설치 명령을 통해 설치를 진행한다. 명령 실행 시 설치 파일명은 다운받은 파일명에 맞게 적용한다.

sudo dpkg -i elasticsearch-9.0.0-amd64.deb

설치가 완료되면 시스템 데몬은 다시 적용하고 재부팅 이후에도 Elasticsearch 서비스가 동작하도록 등록한다. 명령은 설치 CLI 화면에 내용을 복사해서 실행한다.

설치 과정에서 elastic 계정 패스워드를 별도로 메모한다. 키바나(Kibana) 설치 후 시스템 로그인 과정에 인증 정보가 필요하다.

설치가 완료되면 서비스를 시작하고 정상적으로 실행되었는지 확인한다.

서비스 상태가 실행상태를 확인하면 설치가 완료된다. Elasticsearch 설치가 완료되면 키바나(Kibana)를 설치한다. 키바나는 사용자가 Elasticsearch SIEM 기능을 운영하기 위해 필요한 웹 기반의 사용자 GUI 이다. Kibana GUI의 주요 기능은 다음과 같다.

데이터 시각화: 로그, 대시보드
보안 룰 설정 및 경보 설정
자산 정보 관리 및 RISK 관리
보안 경고 및 사고 조사
클라우드 보안 관리

키바나 설치 파일은 링크[1]를 통해 다운로드 한다. 데비안 패키지 파일을 다운받기 위해 설치 파일 종류를 선택한다.

[1] https://www.elastic.co/docs/deploy-manage/deploy/self-managed/install-kibana

설치 파일을 다운로드 받는 방법과 설치 명령은 링크를 참고해서 설치를 진행한다. 설치 파일은 플랫폼에 필요한 설치 파일을 확인해서 다운로드 받는다. 일반적인 amd 기반의 CPU를 사용하는 플랫폼에서는 amd64 설치 파일을 다운받아 실행한다.

설치가 정상적으로 완료되면 Elasticsearch와 연동에 필요한 토큰 키를 생성한다. Root 권한으로 토큰키 생성 명령을 실행하면 다음 예제와 같이 키값이 생성 된다.

# /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana eyJ2ZXIiOiI4LjEzLjQiLCJhZHIiOlsiMTkyLjE2OC4yMjEuMTIxOjkyMDAiXSwiZmdyIjoiYjQ2OTc1MTA0YWI2NDA3M2I5MzAzNzYxMzExMzg5ZmQ3MzQ0YjA1N2NhZjM1NTRjYWQzYmI4Y2EzZDAyZjYxMCIsImtleSI6ImY0cE1oWThCUlFPdV82dXRvQkFYOi1ya0FKSHJhVHRPNEt4b1ZhSktUUmcifQ==

생성한 키값은 GUI를 통해 연동하기 위해 복사해 둔다. 키바나 서비스를 자동으로 시작하기 위해 시스템 서비스에 등록한다. 이후 데몬 정보를 업데이트하고 키바나 서비스를 시작해서 정상 구동을 확인한다.

# sudo /bin/systemctl enable kibana.service # sudo /bin/systemctl daemon-reload # sudo systemctl start kibana.service [sudo systemctl stop kibana.service]

정상 구동이 이뤄지면 키바나 설정 파일을 수정한다. 키바나 서버에 원격으로 접근하기 위해서 설정을 변경하다.

# vi /etc/kibana/kibana.yml

설정 파일의 “server.host” 항목을 호스트 IP 또는 0.0.0.0 으로 설정하면 원격에서 접근이 가능하다. 키바나에 원격 접근을 허용하는 경우 권한 없는 사용자의 접근을 제안하기 위해 시스템에 대한 Iptable을 활용하거나 네트워크 기반의 접근 제어를 적용하는 작업이 선행되어야 한다. 기타 설정 항목들은 향후 필요한 경우 개별 수정 할 수 있다.

Elasticsearch와 키바나의 설정이 변경되면 변경된 설정을 적용하기 위해 서비스를 재시작해야 한다.

키바나의 사용시 민감한 데이터를 보호하기 위한 암호화 키를 적용할 수 있다. Root 권한으로 키바나 암호화 키를 생성한다.

#/usr/share/kibana/bin/kibana-encryption-keys generate

명령을 실행하면 암호화에 사용할 키 값이 생성된다.

생성한 키 값은 kibana.yml 파일에 복사해서 붙여 넣는다. 설정 값은 kibana.yml 파일의 제일 마지막에 새로 입력해서 넣는다.

변경된 설정을 적용하기 위해 시스템을 재시작한다. 재시작 후 정상 동작이 확인되면 GUI를 통해 접속한다.

브라우저를 통해 키바나 서비스에 접속 한다.

http://192.168.221.122:5601/app/home#/

Elasticsearch와 연동하기 위해 앞서 복사해둔 Enrollment 키값을 화면에 붙여 넣는다.

키바나 서버에서 확인 코드를 생성해서 입력한다.

# root@es02-01:/home/greg/download# /usr/share/kibana/bin/kibana-verification-code

모든 과정이 완료되면 구성 설정이 완료된다. 설치가 완료되면 브라우저를 새로 고침하고 다시 접속한다. 키바나 서버에 로그인하기 위한 화면이 나오면 앞서 복사해둔 Elastic 계정 정보를 입력한다.

처음 로그인 하면 Integration 설정을 선택할 수 있다. 해당 설정은 나중에 진행하고 키바나 서버의 메뉴를 확인하기 위해 “explore on my own”을 선택한다.

로그인이 완료되면 그림 처럼 메뉴 화면을 선택할 수 있다.

패키지 파일을 이용한 Elasticsearch와 키바나 설치 과정을 살펴 보았다.

정보 보안 통합 솔루션

실시간 보안 위협을 탐지 하기 위해 다양한 보안 솔루션을 활용 한다. 네트워크 기반의 보안 솔루션에서 부터 엔드포인트, 클라우드 기반의 다양한 보안 솔루션을 통해 보안 위협을 탐지하고 차단한다. 다양한 보안 로그 및 시스템 로그를 분석하기 위해 통합 보안 솔루션, SIEM 플랫폼을 활용한다.

XDR 플랫폼은 다양한 로그 수집을 통해 위협을 분석 한다. 실시간 로그 수집을 통해서 보안 위협을 실시간으로 탐지한다.

정보보안 및 통합보안 관점에서 SIEM (Security Information and Event Management) 솔루션은 조직의 보안 체계를 효율적으로 관리하고 강화하기 위한 핵심 시스템이다. SIEM 솔루션의 개념과 역할, 주요 기능, 보안 관점에서의 중요성 등을 살펴보자.

여기서부터 ChatGPT 참조 “정보보안 및 통합보안 관점에서 SIEM 솔루션에 대한 역할”

로그 수집(Log Collection)

다양한 시스템(방화벽, IDS/IPS, 서버, DB 등)에서 생성된 로그를 실시간 또는 배치 방식으로 수집.
정형/비정형 로그를 수집하고 일관된 포맷으로 표준화.

이벤트 상관 분석(Correlation Analysis)

서로 다른 로그/이벤트 간의 관계를 분석하여 의심스러운 보안 이벤트를 식별.
예: 동일한 IP에서 5분간 여러 시스템에 로그인 실패 → 무차별 공격 가능성.

실시간 경고(Alerting) 및 대응

사전에 정의된 룰이나 머신러닝 기반 이상행위 탐지를 통해 즉각적인 알림 및 대응조치 가능.

대시보드 및 시각화

보안 상태를 실시간으로 가시화하여 운영자에게 인사이트 제공.
위협 인텔리전스, 트렌드 분석 등을 직관적으로 확인 가능.

컴플라이언스 및 보고(Compliance & Reporting)

ISO 27001, GDPR, HIPAA, PCI-DSS 등의 규제 준수를 위한 감사 로그, 리포트 자동 생성.

위협 인텔리전스 연계

외부의 위협 정보(악성 IP, 도메인 등)와 연동하여 분석 정밀도 향상.

SIEM (Security Information and Event Management)은 보안 정보(Security Information)와 보안 이벤트(Security Event)를 수집, 분석, 저장, 모니터링, 대응하는 통합 보안 플랫폼 이다. 주로 로그 수집, 이벤트 상관분석, 이상 행위 탐지, 실시간 경고, 컴플라이언스 지원 등을 통해 보안 가시성과 대응력을 높인다. 정보보안 통합 솔루션 관점에서 주요 활용 영역은 다음과 같다.

항목	설명
위협 탐지	침해사고(APT, 내부자 위협 등)를 조기에 탐지 가능
포렌식 지원	사고 발생 시 원인 분석 및 시간대별 로그 추적에 활용
자동화된 대응	SOAR 등과 연계해 탐지 → 분석 → 차단까지 자동화 가능
보안 거버넌스 강화	전사 보안 상태를 통합 관제하며 정책 준수 여부 확인 가능
위험 기반 접근	자산, 취약점, 위협의 교차 분석을 통해 위험 우선순위 설정

표 SIEM의 보안 관점 중요성

다양한 보안 이벤트 분석에 따른 한계도 명확하다.

한계	설명	보완 방향
오탐/과탐	이벤트 상관 분석의 정확도가 낮으면 과도한 알림 발생	머신러닝 기반 분석 기능 강화
운영 복잡성	룰 설정 및 유지보수에 많은 자원 소모	자동화된 룰 추천, 사용자 기반 정책 도입
저장 공간	방대한 로그 저장 시 스토리지 비용 증가	클라우드 기반 SIEM으로 전환 고려
위협 탐지 한계	알려지지 않은 공격(제로데이) 탐지 어려움	UEBA, AI 기반 보안 기능 연동

표 SIEM의 한계점 및 보완

여기까지 ChatGPT 참조

엘라스틱서치(Elasticsearch)를 활용한 웹 로그 분석

SIEM 솔루션 또는 XDR 솔루션은 다양한 로그 수집을 통해 위협을 분석 한다. 실시간 로그 수집을 통해서 보안 위협을 실시간으로 탐지한다. 통합로그분석 솔루션이라고 부르는 해당 제품은 다양한 보안 솔루션 이벤트를 수집하고 단편적으로 식별하기 어려운 보안 위협을 분석 할 수 있다.

많은 기업에서 다양한 보안 제품을 사용한다. 실시간으로 수집되는 보안 이벤트를 사람이 직접 분석하는 것은 불가능에 가까운 일이다. 대규모 IT 인프라 환경에서 보안운영을 위해 XDR 솔루션은 필수로 사용되는 솔루션 이다.

실시간 위협 분석과 함께 침해사고가 발생할 경우 또는 Threat Hunting 활동을 수행하기 위해서 XDR 솔루션을 이용한다. 수많은 보안 제품의 개별 시스템 로그를 분석해 사고 원인을 조사하거나 침입의 흔적을 찾는 것은 많은 리소스가 필요한 작업이다. 효율적인 분석 업무를 위해 XDR 솔루션을 이용해 통합분석을 수행한다.

가트너 정의를 참고 해보면 다양한 상업용 솔루션이 있다는 것을 알 수 있다.

XDR을 활용한 보안 위협 분석 – 웹 로그 분석

보안사고 조사를 수행하고 사고 대응을 수행하는 분석가 입장에서는 단일 인터페이스를 통해 여러 솔루션 로그를 검색하고 상관 관계를 분석할 수 있기 때문에 효율적인 사고조사를 수행할 수 있다. XDR 솔루션의 경우 대용량의 로그를 보관하고 있기 때문에 사고분석에 필요한 로그 분석에 많이 사용 된다. 시스템 정보를 수집하고 보관하여 침해사고 조사 시 시스템 유실로 인한 사고 조사 영향을 최소화할 수 있다.

사고 분석을 위해 오픈소스 제품을 이용 공격 경로를 분석하는 방법을 살펴 본다. 사용할 제품 설치 과정을 엘라스틱 공식 웹 사이트를 통해서 확인 할 수 있다.

https://www.elastic.co/kr/downloads/elasticsearch

lastic을 이용해 로그 수집과 분석을 위해서 가장 많이 구성하는 방식은 엘라스틱 엔진과 로그 분석을 위한 로그스태쉬, 시각화를 위해 사용하는 키바나 조합 이다. 흔히 ELK (Elastic /Logstash/Kibana)라고 부른다.

https://www.elastic.co/guide/en/logstash/current/deploying-and-scaling.html

설치 방법은 공식 사이트에서 운영 체제에 맞춰 설치 파일을 다운로드하고 설치 가이드에 따라 설치할 수 있다. 엘라스틱과 키바나 설치를 완료하고 로그인에 성공하면 로그 분석을 수행 할 수 있다. 로그를 연동하고 상관 분석 룰을 이용해 보안 위협을 탐지하는 기능은 무료로 사용할 수 있다. 수집된 로그를 머신 러닝을 이용하거나 대용량으로 클러스터 구성을 하는 경우에는 유료 기능을 이용해야 한다.

설치를 완료하면 간단한 로그 분석 실습을 수행한다. 최근 ChatGPT를 보안 업무에 활용하는 시도가 많이 이뤄진다. 로그를 재현하는 과정을 예를 들어 본다. 취약한 로그를 재현하기 위해서 가상 머신에 시스템을 구축해서 관련 로그를 추출해야 했다. 이 작업을 ChartGPT를 이용해서 엘라스틱에서 분석에 사용할 공격 로그 샘플을 확보해 보자.

Web Attack_log Samples from IIS-KOR.log 다운로드

ChatGPT 질의 ‘엘라스틱서치 분석용 웹로그 샘플 IIS 해킹 로그 샘플’

아래는 IIS (인터넷 정보 서비스) 서버에서 발생한 해킹 시도에 대한 웹 로그 샘플입니다. 이 샘플은 일반적인 해킹 시도 패턴을 보여주기 위한 예시입니다.2023-06-24 10:15:32 192.168.0.100 GET /wp-admin/ – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 152023-06-24 10:17:21 192.168.0.100 GET /login.php – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 212023-06-24 10:18:09 192.168.0.100 GET /administrator/ – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 142023-06-24 10:19:45 192.168.0.100 GET /phpMyAdmin/ – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 192023-06-24 10:21:10 192.168.0.100 GET /wp-login.php – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 162023-06-24 10:22:37 192.168.0.100 GET /dbadmin/ – 80 – 203.0.113.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36 – 404 404 0 15위 로그 샘플에서 다음 정보를 확인할 수 있습니다:2023-06-24 10:15:32: 로그가 기록된 날짜와 시간.192.168.0.100: 로그가 발생한 서버의 IP 주소.GET: HTTP 요청 메서드./wp-admin/, /login.php, /administrator/, /phpMyAdmin/, /wp-login.php, /dbadmin/: 해커가 접근을 시도한 경로.80: 사용된 포트 번호.203.0.113.1: 해커의 IP 주소.Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/90.0.4430.212+Safari/537.36: 해커의 사용자 에이전트(User-Agent).404: 응답 상태 코드 (파일을 찾을 수 없음).404 404 0 15: 응답 크기 및 응답 시간 등의 추가 정보.이 로그에서는 해커가 일반적인 관리자 경로(/wp-admin/, /administrator/)와 데이터베이스 관리 도구(/phpMyAdmin/, /dbadmin/) 등에 접근을 시도한 것을 확인할 수 있습니다. HTTP 응답 상태 코드가 404인 경우, 서버는 해당 경로에 대한 리소스를 찾을 수 없음을 나타냅니다.

다운받은 샘플 로그를 엘라스틱서치에 추가해서 분석가가 사고 원인 분석을 위해 확인하는 항목을 살펴 볼수 있다. 자세한 과정은 영상을 참고할 수 있다.

분석가가 사용하는 도구 – XDR (엘라스틱)

샘플로 다운받은 공격 로그는 웹 사이트의 관리 페이지에 대한 접근 시도 공격 이다. 무작위 스캔성 공격 시도 시 접근 경로가 로그에 남기 때문에 공격자가 접근한 URL과 공격 성공 여부를 분석해야 한다. 이 경우 분석가는 공격 시 접근한 경로가 저장되는 필드를 선택해서 분석 한다.

로그를 분석하는 사례를 매우 많다. 공격 유형에 따라 수집할 로그 종류가 다르고 분석가가 주목해야할 필드 정보도 다르다. 엘라스틱을 이용해서 사고 대응 시 로그 분석 과정을 간단하게 살펴 보았다.

AI-Driven 보안 경보 분석 업무 쉽게 하기

보안팀 대응 업무의 가장 많은 리소스 사용은 탐지된 보안 경보를 분석해 보안 위협을 구분하는 과정 이다. 다양한 보안 장비의 상관분석을 통해 탐지된 보안 경보는 각각의 보안 로그를 재조합해 분석팀/관제팀에서 분석에 필요한 문맥 정보를 파악 한다. 이 과정에서 탐지된 보안 로그를 확인하는 과정에 시간이 많이 소요 된다. 각각의 필드 정보와 IOC 연관 정보를 식별하는 과정은 단순 업무의 반복이다.

RAG 기술을 활용해 인공지능 엔진을 보안 위협 대응 과정에 활용하면 보안 경보 분석 과정을 혁신적으로 빠르게 분석할 수 있다. 전통적으로 SIEM 솔루션에서 발생한 경보를 분석하는 과정과 인공지능 엔진을 활용해 경보를 분석하는 과정을 비교해 볼 수 있다.

다음 화면 캡처를 통해 전통적인 보안 경보 분석 하는 과정을 먼저 설명 드립니다. 탐지된 경보 중 인텔리전스 정보를 활용한 블랙 리스트 IP에 접속한 경보를 살펴 본다.

그림. 보안 경보 상세 로그 분석 1단계. 이벤트 설명

탐지 위협을 이해하기 위해 탐지된 경보에 대해 설명을 확인하고, 경보가 의미하는 내용과 조사 방법에 대한 설명을 확인 한다. 참조 내용을 기반으로 탐지된 상세 로그를 분석 한다. 탐지 시간, 탐지된 IP 정보를 확인 하고, IP 정보에 대한 평판을 확인하기 위해 평판 조회 사이트를 참고 한다. 의심 IP에 접속한 호스트에 대해 상세 정보를 확인 한다.

그림. 보안 경보 상세 로그 분석 2단계. 외부 IP 평판 정보 분석

운영 체제 정보와 연결에 사용한 프로그램을 확인 한다. 연결에 사용된 프로그램 정보는 악성코드나 백도어에 의한 원격 연결을 확인하는데 중요한 정보이다. 개별 분석 정보를 취합해 분석가는 해킹에 의한 이벤트 발생 여부를 판단 한다.

그림. 보안 경보 상세 로그 분석 3단계. 보안 장비 로그 확인

추가로 시각화 정보를 이용하게 되면 좀더 직관적으로 탐지 이벤트에 대해 이해할 수 있다. 최초 실행된 프로세스와 해당 실행 파일 정보를 통해 인터넷 연결을 통한 네트워크 연결 과정을 확인할 수 있다.

그림. 보안 경보 상세 로그 분석 4단계. 시각화 정보 분석

이러한 과정은 실시간으로 보안팀 분석가가 반복적으로 수행하는 작업이며, 분석에 대부분의 업무 리소스를 사용 한다.

생성형 AI 역량을 활용하면 앞서 분석가가 직접 확인해야 하는 정보를 자동으로 분석하고 빠르게 대응할 수 있도록 경보와 연관된 모든 정보를 확인 수 있다. 프롬프트 엔지니어링을 통해 간단하게 관련 정보를 확인할 수 있다. 엘라스틱에 수집된 로그를 이용해 분석 보고서 정보를 생성 할 수 있다. 다음 화면은 앞서 설명한 분석 과정을 Elastic AI-Driven 엔진을 통해 자동으로 모든 과정의 정보를 취합하는 화면 캡처다.

그림. 인공지능 엔진을 이용한 보안 경보 분석 정보 자동 생성

Elastic AI Assistant가 탐지된 경보에 대한 상세 로그를 분석해 중요한 위협 식별 정보를 정리 한다. 탐지된 보안 이벤트 종류와 형식을 요약하고, 연관된 호스트 정보를 상세하게 분석해 제공 한다. 호스트 또는 사용자에 대한 위험 리스크 스코어도 함께 제공해 분석가가 판단에 필요한 도움을 제공 한다.

외부로 통신을 시도한 설치 프로그램 정보를 분석에 제공하면 분석가는 시간을 들여 분석하지 않아도 핵심적인 이벤트 대응 정보를 참고 할 수 있다. 여기에 추가로 필요한 대응 조치에 대해 확인해 대응 과정에서 활용 할 수 있다. 앞서 메뉴얼하게 분석하는 과정과 비교해 보면 대응 시간을 드라마틱하게 줄여 대응 역량을 높일 수 있다. 분석 보고서는 케이스 생성을 통해 시스템에 대응 근거로 저장해 침해사고 대응 과정에 대한 기록으로 활용할 수 있다. 이처럼 인공지능 역량을 활용한 보안 위협 대응은 다양한 보안 위협을 대응하는 기업의 역량을 높이는데 매우 중요한 요소다.

자세한 데모를 통해서 생성형 AI를 활용해 실제 위협 분석을 진행하는 과정은 유튜브 링크를 참조 한다.

핵심을 찾아내는 침해사고분석

BIGROOT SECURITY

태그 보관물: #elasticsearch

엘라스틱서치(Elasticsearch) SIEM 설치

정보 보안 통합 솔루션

엘라스틱서치(Elasticsearch)를 활용한 웹 로그 분석

AI-Driven 보안 경보 분석 업무 쉽게 하기