[아이티비즈 김건우 기자] 엘라스틱은 '엘라스틱 엔드포인트 시큐리티'와 '엘라스틱 SIEM'의 강점을 결합한 통합 인터페이스로 가시성과 위협 보호를 제공해주는 '엘라스틱 시큐리티 7.6'을 출시했다고 3일 밝혔다.
'엘라스틱 시큐리티 7.6'은 전산시스템을 공격하는 각종 보안 위협 탐색을 자동화하기 위해 새로운 통합보안관리(SIEM) 탐색 엔진을 도입하여 평균 진단 시간(MTTD)을 최소화하고 보안팀이 다른 업무에 할애하던 시간을 줄여 사람의 직관과 기술을 필요로 하는 보안 업무에 집중할 수 있는 시간을 갖게 해주는 것이 특징이다.
'엘라스틱 시큐리티 7.6'의 핵심 기능 가운데 하나인 '엘라스틱 SIEM'은 '엘라스틱서치'를 기반으로 하기 때문에 보안 조사의 속도를 높여 소요시간을 수 시간에서 수 분으로 단축시켜준다. 이 새로운 자동 탐색 기능은 만약 이 기능이 없었더라면 놓치게 될 위협을 찾아냄으로써 지연 시간을 줄여준다.
엘라스틱은 또한 다른 도구가 종종 놓치는 위협의 신호를 포착하기 하기 위해 엘라스틱의 '어택(ATT&CK)'이란 참조 자료와 맞춘 약 100개의 기본 규칙 시작 세트를 제공해준다. 엘라스틱의 보안 전문가들이 만들고 유지 관리하는 이 규칙들은 위협 활동을 가리키는 도구, 전술 및 절차를 자동으로 탐색하고 새로운 위협에 대처하기 위해 계속 업데이트된다.
'엘라스틱 SIEM'이 제공하는 규칙은 윈도, 맥OS, 리눅스 시스템에서 수집된 '엘라스틱 커먼 스키마(ECS)' 준수 데이터 및 다른 소스의 네트워크 정보 상에서 운영되기 때문에 보안팀이 자체 환경에 추가되는 새로운 ECS 준수 데이터 소스에 대한 규칙을 다시 작성할 필요가 없다.
'엘라스틱 시큐리티 7.6'은 평균진단시간(MTTD)도 단축시켜 준다. 새로운 엘라스틱 SIEM 앱 개요 페이지와 폭넓은 워크플로 개선으로 보안 실무자들은 위협을 빨리 헌팅하고 조사할 수 있다. 사용자들은 타임라인을 열어 최근의 탐색 신호를 보고, 엘라스틱 엔드포인트 시큐리티, 팔로알토네트웍스, 수리카타, 지크 등 외부 소스의 알림을 검토하여 바로 조사에 들어갈 수 있다. SIEM 앱이 어디에 있든, 클릭 한 번으로 통합된 위협 탐색과 이상 징후 탐색 기능을 이용할 수 있는 것이다.
