ELK
[공지] Elastic SIEM 구축 1 - 제품 소개 및 작업 계획
양평 볼트 ・ 2020. 7. 12. 19:18
URL 복사 이웃추가
본문 기타 기능
신고하기
사실 최근 수년동안 Elastic Stack을 활용한 SIEM 솔루션들이 많이 나왔습니다. 그러나 여러 문제로 제대로된 제품이 나오지 못했습니다. 국내에서도 여러 보안솔루션 업체들이 이 분야에 많은 투자를 했는데도, 2020년 7월 현재 ELK 기반으로 제작된 SIEM 솔루션은 없습니다.
이와중에 Elastic은 SIEM 앱을 출시했고, 지속적으로 업그레이드 중입니다.
Elastic SIEM의 가장 큰 장점은 수집과 검색이라고 볼 수 있습니다. 만약 외산 보안장비를 사용하고 있고 사용 목적이 명확한 곳은 Elastic SIEM을 도입하면 큰 효과를 볼 수 있습니다. 첫번째 예로 Auditbeat으로 서버 모니터링하고 Fortinet 장비로 네트웍 보안을 구성하고 있다면 무료 라이센스(Basic)로도 충분히 SIEM 구축이 가능합니다. Auditbeat에서 audit 대몬의 복잡한 데이터를 파싱해주는 것을 보고 감명 받았습니다.
그리고 Fortinet 장비의 로그 파싱도 Filebeat 모듈을 enable해주고 udp 포트 오픈만 해주면 나머지는 알아서 수집 및 파싱이 됩니다.
대신에 단점도 있습니다. 만약 포티넷이 아니라 국산 보안장비의 로그를 수집해야 한다면 별도 파싱을 위한 작업을 해줘야 합니다. 이 부분은 보안분석가가 하기엔 한계가 있고, 구축을 전문적으로 수행하는 업체에 맡기는 것이 좋습니다.
만약 규모가 작도 단순한 구조의 SOC를 운영중이라면 Elastic SIEM 도입을 적극 추천드립니다. 유료로 판매되고 있는 제품들을 구매하지 않아도 충분히 SIEM 구축 을 할 수 있습니다.
Elastic SIEM 소개
Elastic SIEM은 보안 팀들이 탐지된 이벤트를 심사하고, 초기 조사를 수행하는 대화형 작업 공간입니다. 타임라인 이벤트 뷰어는 분석가들이 공격의 증거를 수집하하여 저장하고, 관련 이벤트를 고정시켜 주석을 달며, 발견사항에 대한 의견을 써서 공유할 수 있게 해줍니다. 이 모든 것이 Kibana에서 가능합니다. 이렇게 할려면 ECS 형식을 따르도록 수집단계에서부터 신경을 써줘야 합니다.(세상에 공짜는 없습니다. 프로그램은 공짜지만, 설정은 공짜가 아니죠.)
아래는 Auditbeat와 포티넷 UTM 장비에서 데이터를 수집하고 기본으로 탑재되어 있는 룰을 모두 켜서 탐지된 이벤트입니다. 참고로 여기선 이벤트라 하지 않고, Signal이라고 하네요.
호스트 기반 이벤트 분석
Kibana에 이미 여러 형태로 존재하는 대시보드가 있는 것을 호스트 기준으로 재조합한 것입니다. 역시 재조합만으로도 의미가 있네요. 참고로 Winlogbeat에서 sysmon을 지원하기 때문에 윈도우서버쪽 데이터가 분석 가능합니다. 이러면 관련 솔루션 업체들 몇개는 날라갈 수도 있겠네요.
네트워크 보안 이벤트 분석
마찬가지로, 네트웍을 기준으로 패널들을 정리했습니다. 7.2 버전에서는 Cisco ASA와 Palo Alto 방화벽을 지원하고 7.8에서는 아래 모듈들을 지원합니다. 이정도면 웬만한 조직에서는 충분할 것 같네요.
ActiveMQ ,Apache ,Auditd ,AWS ,Azure ,CEF ,Check Point ,Cisco ,CoreDNS ,Crowdstrike ,Elasticsearch ,Envoyproxy ,Fortinet ,Google Cloud ,haproxy ,IBM MQ ,Icinga ,IIS ,Iptables ,Kafka ,Kibana ,Logstash ,MISP ,MongoDB ,MSSQL ,MySQL ,nats ,NetFlow ,Nginx ,Office 365 ,Okta ,Osquery ,Palo Alto Networks ,PostgreSQL ,RabbitMQ ,Redis ,Santa ,Suricata ,System ,Traefik ,Zeek (Bro)
타임라인 이벤트 분석
탐지 또는 위협 추적을 위한 협력 작업 공간으로서, 분석가들은 관심이 가는 객체들을 쉽게 타임라인 이벤트 뷰어로 끌어다 놓음으로써 알림의 원인을 밝혀내기 위해 필요한 바로 그 쿼리 필터를 손쉽게 만들 수 있습니다. 조사 중에 분석가들은 개별 이벤트를 고정시키고 주석을 달 수 있으며, 조사 중에 취해진 조치들을 설명하는 메모도 추가할 수 있습니다. 자동 저장 기능은 조사 결과가 사고 대응 팀에게 안전하게 제공될 수 있도록 해줍니다.
위 내용은 Elastic 블로그의 내용이다. Splunk Enterprise Security와 비교하면 극히 일부 기능을 구현해놓았지만, 작은 조직의 보안관리자 입장에선 아주 유용할 것 같다. 타임라인 분석 시 하나의 이벤트에 대해서 UI에서 보기 쉽게 표현한 것은 분석 시간 단축에 큰 도움을 줄것 같다.
앞으로 포스팅할 글 리스트
Elastic SIEM 구축 1 - 제품 소개 및 작업 계획
Elastic SIEM 구축 3 - Auditbeat 설치
Elastic SIEM 구축 4 - Detection Rule 활성화
Elastic SIEM 구축 5 - Fortigate UTM 연동
Elastic SIEM 구축 6 - Winlogbeat + sysmon 연동
Elastic SIEM 구축 7 - 탐지된 이벤트를 ML Alert를 사용해서 알림 보내기(Slack)
Elastic SIEM 구축 8 - 탐지된 이벤트를 ML Alert를 사용해서 Phantom에서 자동화처리
앞으로 기대 되는 내용들
현재 145개의 룰이 들어가 있는데, 타 업체와 비교해서 너무 적은 숫자입니다. 아마 이 부분이 추가될 것으로 예상됩니다. 그리고 수집되는 데이터 소스도 현재도 많이 있지만, 이 부분도 확장 될것입니다. 그리고 공격자 중심으로 분석을 하고 있는데, 내부정보 유출 탐지의 관점도 필요합니다. 이 부분이 없네요.
Elastic에서는 다른 업체와 다르게 가시성 부분에 특화시켜서 진화가 예상됩니다. 다른 업체들은 모든 기능들을 충족시키기 위해서 노력하는데, Kibana에서는 쿼리는 최소화 하고 분석할 수 있도록 변화하고 있습니다.
그래도 아직까지는 규모가 크거나 복잡한 보안 조직에선 SPL이 우선적으로 필요할 것으로 보입니다. 정해진 패턴에 맞춰서 공격하는 것도 아니니, 매번 분석을 위해서 새로운 SPL을 수행하는게 아직은 일반적인 상황입니다.
만약 ELK를 구축 후 SPL을 사용하고 싶다면 아래 도구를 사용해도 될 것 같습니다. 아직은 베타버전인 것 같은데, stats, tstats, streamstats 같은 명령어들을 수행 가능해서 실무에서도 유용하게 쓸 수 있을 것 같습니다.
저작자 명시 필수- 영리적 사용 불가- 내용 변경 불가
댓글3 이 글에 댓글 단 블로거 열고 닫기
인쇄
