Elastic Security: 엔드포인트 보안으로 호스트를 보호하세요

Elastic Security는 SIEM, 엔드포인트, 클라우드 보안을 단일 플랫폼으로 합쳐놓은 통합 보안 솔루션입니다. 이를 통해 환경의 모든 부분에서 발생하는 보안 이벤트를 보다 쉽게 보호하고 조사하며 이에 대응할 수 있습니다. 아래 동영상에서 Elastic Security가 조직을 보호하는 데 어떻게 도움이 되는지 알아보세요.

이 대화형 데모를 통해 Elastic Security를 직접 경험해 보세요.

엔드포인트를 위한 Elastic Security를 시작하기 전에 먼저 Elastic Security for SIEM 솔루션을 설정했는지 확인하세요. 아직 설정하지 않으셨다면 Elastic Security for SIEM 시작 안내서를 살펴보세요.

이미 Elastic Security for SIEM을 설정한 경우, 아래 지침에 따라 계속 진행하세요.

배포가 준비되면, Security 탭에서 Secure my hosts with endpoint security(엔드포인트 보안으로 내 호스트 보호)를 선택합니다.

Elastic Security for SIEM에서 아직 설치하지 않은 경우, Elastic Defend 통합과 함께 Elastic Agent를 설치해야 합니다. 에이전트에는 수백 가지의 기본 통합 기능이 있습니다. Elastic Defend는 호스트 기반 활동에 대한 심층적인 가시성과 함께 예방, 조사, 대응 기능을 제공하는 엔드포인트 보안 솔루션입니다.

Elastic Defend 및 Elastic Agent를 시작하는 방법을 알아보려면, 이 가이드 투어를 확인하거나 아래 지침을 따르세요.

Add Elastic Defend(Elastic Defend 추가)를 선택하면, 호스트에 Elastic Agent를 설치하라는 메시지가 표시됩니다.

Install Elastic Agent(Elastic Agent 설치)를 클릭하고, 적절한 운영 체제를 선택한 다음, 명령을 실행하여 Elastic Agent를 설치, 등록 및 시작하면 됩니다.

Elastic Agent를 설치하면, 에이전트가 성공적으로 등록되었다는 확인 메시지가 표시됩니다.

그런 다음, Confirm incoming data(수신 데이터 확인)를 선택하세요. 기본적으로, Elastic Defend는 이벤트 수집만 활성화된 상태로 구성됩니다.

정책에서 엔드포인트 방지를 활성화하여 Elastic의 완전한 엔드포인트 탐지 및 대응(EDR) 경험을 활성화하는 방법을 알아보려면 계속해서 읽어보세요.

다음으로 View Assets(자산 보기)를 선택합니다.

이제 Hosts(호스트)를 선택합니다.

이제 Elastic Security for Endpoints가 표시되는 것을 볼 수 있습니다. 다음으로, policy(정책) 아래에서 endpoint(엔드포인트)를 선택합니다.

완전한 엔드포인트 탐지 및 대응(EDR) 기능을 활용하려면, 여기 오른쪽에서 다음 보호 기능을 여러분의 정책에서 활성화하면 됩니다.

• Malware 보호
• 랜섬웨어 보호
• 메모리 위협 보호
• 악의적인 행동 보호

Elastic Defend 정책 구성에 대한 자세한 내용은 Elastic의 설명서를 확인하세요.

그런 다음 Save(저장)를 선택하면 데이터 탐색을 시작할 준비가 된 것입니다.

이제 여러분의 작업 환경에서 어떤 일이 일어나고 있는지 알아보겠습니다. 보안 관련 데이터에 대한 전체적인 개요를 확인하고, 이벤트를 신속하게 조사하는 등의 작업을 수행할 수 있습니다. 아래 설명서에서는 대화형 대시보드 및 분석 도구를 사용하여 환경을 탐색하는 방법을 보여줍니다.

• 호스트 보기에서 시스템 데이터 시각화
• 네트워크 보기에서 네트워크 데이터 탐색
• 타임라인에서 이벤트 조사
• 분석가 보기에서 호스트 프로세스 탐색
• 경보에서 Osquery 실행

다음으로 즉시 사용 가능한 탐지 규칙을 활성화합니다.

• 탐지 규칙 관리
• 대응 조치 설정
• 이벤트 분석기
• 대응 검토

ML 기반 이상 징후 탐색으로 알려지지 않은 위협을 찾아내 한 단계 더 나아갑니다. 더불어 Elastic Agent를 위한 Elastic Defend 통합을 통해 랜섬웨어와 Malware 예방을 구현하여 호스트를 보호합니다.

Elastic은 위협 헌팅 및 사고 조사를 위해 선택한 플랫폼입니다. 실제 데이터로 테스트해 봅시다. 다음 리소스를 사용하여 초기 분류에서 사례 종결에 이르기까지 조사를 직접 수행해 볼 수 있습니다.

• Elastic Agent를 위한 Osquery Manager 통합 설치

• 엔드포인트 대응 조치 구성

엔드포인트를 위한 Elastic Security 여정을 시작하시게 된 것을 축하합니다. 시작할 때, 배포를 위한 주요 운영, 보안 및 데이터 고려 사항을 검토하여 Elastic을 최대한 활용하세요.

• SIEM을 사용하여 내 데이터의 위협 탐지 시작하기
• 클라우드 보안 태세 관리로 클라우드 자산 보호 시작하기
• Elastic Security Labs
• 위협 헌팅 안내서
• SIEM용 대용량 데이터 소스에 대한 안내서
• 엔드포인트 최적화 방법 알아보기