정보 보안 이야기9 Elastalert 활용, 보안 위협 이벤트 탐지 방법 소개 정보 보안 현업에서는 매일 지속적으로 발생하는 보안 위협 이벤트에 대해 정.오탐을 분류하는 업무는 매우 힘들고 지치는 일입니다. 이와 같은 이유로 대부분 위협이라고 판단할만한 이벤트에 대해서는 알람을 걸어 모니터링을 진행하고 있는데요. 이번 시간에는 Elasticsearch에 저장되는 보안 이벤트를 실시간으로 감시하여 정해진 Rule에 매칭되면 알람 통해 알려주는 오픈소스 Elastalert에 대해 살펴보고 실제 저희 회사에서 정해놓은 몇가지 Rule을 소개해드리도록 하겠습니다. Elastalert 오픈 소스 소개 ElastAlert는 Elasticsearch 데이터에서 이상 징후, 급격한 변화 또는 주목할 만한 패턴을 감지하고 알림을 제공하는 간단한 프레임워크입니다. Yelp는 데이터와 로그의 양이 지.. 정보 보안 이야기 2025. 4. 18. 더보기 ›› Arcsight & Elasticsearch 연동, 보안 로그 분석 플랫폼 개발 사례 제가 근무중인 회사는 ArcSight SEIM을 도입하여 현재 기업 내 모든 보안 이벤트 로그(서비스 및 사용자 PC)를 수집하고 있습니다. 평일기준 1일 용량은 Elastic 문서수 기준으로 약 6억~7억건 정도 됩니다. 아크사이트도 우수한 SIEM 솔루션이지만, 실제 운영 측면에서 몇 가지 문제점이 있어 개선하고자 Elastic Stack과 통합하는 프로젝트를 진행하게 되었습니다. 내가 생각하는 기존 Arcsigh 문제점 정리 여러 조건이 걸린 로그를 검색할 때 능숙하지 않으면 다루기가 힘듦.처음 운영 시 학습 곡선 및 진입 장벽이 높게 느껴질 수 있음.사용자 인터페이스(UI)가 명확하지 않음.사용자 맞춤 설정이 어려움(대시보드, 검색 조건 등).여러 기능이 있지만 실제 운영 환경에서의 활용도는 관리.. 정보 보안 이야기 2025. 4. 17. 더보기 ›› EDR 꼭 필요할까요? 엔드포인트 보안의 중요성 이번 시간에는 EDR(Endpoint Detection & Response)이 보안 분야에서 왜 필요하며 엔드포인트 보안 전략의 핵심으로 언급되고 있는지 자세하게 알아보는 시간을 갖도록 하겠습니다. 본문 내용은 실제 현업에서 제가 자료를 조사하고 실제 필자의 생각을 정리한 내용이니 같은 직종이 있는 분들께 조금이라도 도움이 되길 희망합니다. 보안 위협의 실태 기업정보 유출 과정 사례 최근 사이버 보안 위협은 PC와 스마트폰 등 엔드포인트 단말과 직접 연관되는 경우가 많습니다. 공격자는 어렵게 네트워크를 침입하기보다 표적 기업의 직원 PC를 타켓으로 공격 합니다. 노출된 개인정보와 SNS에 올라간 정보를 수집하여 표적 기업 정보를 수집합니다. 수집된 정보 기반으로 스피어피싱 이메일 공격을 진행하며 표적이.. 정보 보안 이야기 2025. 4. 15. 더보기 ›› SECaaS(서비스형 보안) 이란? 현재 시장은? 이번 포스팅에서는 최근 몇 년전 부터 부각되고 있는 SECaaS란 무엇인지에 대해서 살펴보고 현재 시장은 얼마나 발전하고 있는지 확인해보는 시간을 갖도록 하겠습니다. 현재 저희 회사에서도 일부 보안 서비스를 SECaaS 형태로 유료로 사용중인 부분이 있는데요. 초기 큰 비용 부담이 없다는게 큰 장점으로 느끼고 있습니다. SECaaS란 무엇인가요? 보안 서비스형 소프트웨어(Security as a Service, SECaaS)는 보안 관련 서비스를 클라우드 기반의 인터넷을 통해 필요할 때마다 제공하는 서비스 모델입니다. 이를 이용하는 고객들은 고가의 초기 장비 설치 없이 보안 전문가들이 운영하는 다양한 보안 서비스를 저렴한 월정액 구독 모델로 제공합니다. 이는 특히, 보안 인력에 대한 투입 비용을 절감하.. 정보 보안 이야기 2025. 4. 12. 더보기 ›› 보안 위협 탐지를 위한 Elastic Stack 활용 사례 현재 필자가 근무중인 정보 보안팀에서는 SIEM(Security Information and Event Management) 기능을 구현하기 위해 ElasticSearch를 적극적으로 활용하고 있습니다. ElasticSearch는 이기종 보안 로그를 효과적으로 한곳으로 통합하여 인덱싱함으로써, 보안 데이터를 중앙에서 관리 및 분석할 수 있는 강력한 도구로 자리잡고 있습니다. 이를 통해 다양한 로그들을 실시간으로 모니터링하며 보안 위협에 대응할 수 있을 뿐만 아니라, ElasticSearch의 쿼리 기능을 이용하여 수십만 건에 달하는 보안 이벤트 중 중요도를 기반으로 데이터를 필터링하고 우선순위를 설정할 수 있습니다. 또한, Watcher나 ELKtail과 같은 오픈소스 툴을 추가로 연동하면 특정 보안 .. 정보 보안 이야기 2025. 4. 10. 더보기 ›› 이전 1 2 다음
