ElasticSearch3 Arcsight & Elasticsearch 연동, 보안 로그 분석 플랫폼 개발 사례 제가 근무중인 회사는 ArcSight SEIM을 도입하여 현재 기업 내 모든 보안 이벤트 로그(서비스 및 사용자 PC)를 수집하고 있습니다. 평일기준 1일 용량은 Elastic 문서수 기준으로 약 6억~7억건 정도 됩니다. 아크사이트도 우수한 SIEM 솔루션이지만, 실제 운영 측면에서 몇 가지 문제점이 있어 개선하고자 Elastic Stack과 통합하는 프로젝트를 진행하게 되었습니다. 내가 생각하는 기존 Arcsigh 문제점 정리 여러 조건이 걸린 로그를 검색할 때 능숙하지 않으면 다루기가 힘듦.처음 운영 시 학습 곡선 및 진입 장벽이 높게 느껴질 수 있음.사용자 인터페이스(UI)가 명확하지 않음.사용자 맞춤 설정이 어려움(대시보드, 검색 조건 등).여러 기능이 있지만 실제 운영 환경에서의 활용도는 관리.. 정보 보안 이야기 2025. 4. 17. 더보기 ›› 보안 위협 탐지를 위한 Elastic Stack 활용 사례 현재 필자가 근무중인 정보 보안팀에서는 SIEM(Security Information and Event Management) 기능을 구현하기 위해 ElasticSearch를 적극적으로 활용하고 있습니다. ElasticSearch는 이기종 보안 로그를 효과적으로 한곳으로 통합하여 인덱싱함으로써, 보안 데이터를 중앙에서 관리 및 분석할 수 있는 강력한 도구로 자리잡고 있습니다. 이를 통해 다양한 로그들을 실시간으로 모니터링하며 보안 위협에 대응할 수 있을 뿐만 아니라, ElasticSearch의 쿼리 기능을 이용하여 수십만 건에 달하는 보안 이벤트 중 중요도를 기반으로 데이터를 필터링하고 우선순위를 설정할 수 있습니다. 또한, Watcher나 ELKtail과 같은 오픈소스 툴을 추가로 연동하면 특정 보안 .. 정보 보안 이야기 2025. 4. 10. 더보기 ›› Elastalert를 이용한 보안 위협 탐지 방법 소개 제가 근무중인 회사에서는 평일 기준 평균적으로 엘라스틱서치 클러스터에 축적되는 전체 서비스 보안 이벤트 로그의 상황은 다음과 같은데요. 일별로 기록되는 문서(Document) 수는 약 4억 ~5억건 건 수준이며, 해외의 불특정 다수 IP로부터 스캔성 공격 시도가 지속적으로 발생할 경우 보안 이벤트 로그가 좀더 증가하는 경우도 있습니다. 이와같이 방대한 보안 이벤트 로그를 사람이 개별적으로 일일이 분석하고 검토하는 것은 실질적으로 바닷가 모래사장에서 바늘 찾기에 비유할 수 있을 정도로 비효율적입니다. 보안 위협 로그를 보다 효율적으로 식별할 수 있는 방법은 무엇일까요? 실제 어떻게 보안 위협 이벤트를 식별하고 탐지하는지 사례를 통해 설명드리도록 하겠습니다. 현재 저희 회사 보안 환경은 IDC 전체 트래픽 .. 정보 보안 이야기 2025. 4. 7. 더보기 ›› 이전 1 다음
