Elastic ‘전통적인 SIEM회사에서 엘라스틱 SIEM으로 전환해야하는 이유’

송 대근

Principal Solutions Architect

엘라스틱 코리아

데이터 볼륨이 증가함에 따라 기존 SIEM 제품으로 운영의 한계를 느끼게 됩니다. 비용 증가로 인해 충분한 데이터를 유지 하지 못해 생기는 가시성 부족과 보안 위협에 대한 인사이트 부족은 핵심 비지니스 영향을 미치게 됩니다. Elastic에서는 기술이 기업의 핵심 사업을 방해해서는 안된다고 믿습니다.

페타바이트 규모의 비정형 정보가 있는 세상에서 보안 위협을 분석하고 식별해야 합니다. 빠르게 검색하고 방대한 데이터에 대해 안정적으로 처리할 수 있는 플랫폼이 필요 합니다. IT팀, 보안팀, 현업팀 모두가 필요한 상황에 맞는 통찰력을 얻고 효율적으로 운영하기 위해 고도화된 기능이 필요 합니다. 운영 효율성과 안정성을 제공 합니다.

하이라이트

• Search analytics 플랫폼으로 보안 모니터링 고도화: 엘라스틱에는 머신 러닝과 플랫폼 개방성, 생성형 AI 등을 이용해 보안 위협을 식별하고, 이상 현상을 감지하고, 복잡한 문제를 직관적으로 해결할 수 있는 역량을 제공 합니다. 또한 스케일업을 위한 유연성도 필요합니다. 많은 레거시 SIEM 솔루션에는 이러한 기능을 제공하지 않습니다.
• Elastic Security 머신 러닝 & AI: 고도화된 보안 위협에 대해 머신 러닝과 AI을 이용해 탐지 역량을 향상 할 수 있습니다. 100개 이상의 머신 러닝 기본 제공 모델을 갖춘 업계 최고의 머신 러닝과 자체 모델을 가져올 수 있는 기능을 통해 통찰력과 비지니스 이슈에 대한 해결이 가능합니다. 생성형 AI를 활용하는 새로운 AI Assistant는 팀이 보안 대응에 필요한 정보를 신속하게 분석하고 문맥 분석(correlation)을 수행해 문제를 해결할 수 있도록 도와줍니다. 엘라스틱에서 제공하는 쿼리 언어인 ES|QL은 성능에 대한 Elastic의 명성을 바탕으로 사용자가 더 빠르고 정확한 분석을 수행할 수 있도록 해줍니다. 기존 솔루션의 분석 쿼리는 AI Assistant를 이용해 자동으로 변환 할 수 있습니다.

• AI Assistant - ChatGPT 및 Private LLM과의 연동을 통한 보안 역량 강화:
  • 각종 Alert에 대한 설명 및 대응방안 가이드
  • 기존 솔루션의 쿼리를 엘라스틱으로 전환하는 방법 가이드
  • Alert에 대한 자동분류를 통한 자동화 대응
  • 데이터 Quality에 대한 분석
  • 각종 분석 결과에 대한 요약 및 전문가 레벨의 대응 방안 도출

• Elasticsearch 데이터 티어: 모든 데이터(비즈니스, 애플리케이션, 인프라 등)를 분석하고 TCO를 최적화합니다. 필요한 정보가 여러 솔루션에 분산되어 보안 팀은 비용 관리를 위해 저장하는 기록 데이터의 유형과 양을 타협해야 하는 경우가 많습니다. 기존 SIEM 솔루션을 이용할 경우 필요한 데이터를 선택적으로 저장하고, 비용에 따른 검색 정보와 분석할 수 있는 데이터의 양을 제한해야 합니다. 엘라스틱의 비용 효율적인 테이터 구조를 활용해 방대한 정보를 수집하고 분석에 활용 할 수 있습니다.
• Elastic Security SIEM with EDR: 엘라스틱 EDR (Endpoint Detection and Response) 솔루션은 악성코드에 대한 사전 차단 및 탐지에서 부터 사고 발생 시 원격으로 격리된 호스트에 대한 시스템 컨트롤을 수행 할 수 있습니다. 엘라스틱 EDR 제품을 사용하기 위해 추가 비용이 들지 않습니다. 무료 엔드포인트 제품을 이용해 시스템 가시성을 확보 할 수 있습니다.

직접 사용해 보시겠습니까?

• 무료 체험과 함께 이러한 기능 중 일부를 사용해 보십시오.
• Informatica brings data to life for internal customers with Elastic Observability and Elastic Security
• The Total Economic Impact of Elastic Observability and Security Solutions