AI SIEM 마이그레이션: 단순화, 최적화, 혁신

다음 규모의 SIEM을 매끄럽게 채택하기 위한 복잡성 해체

가트너에 따르면, “클라우드는 디지털 비즈니스의 촉매제”이며, 이는 미션 크리티컬 조직이 클라우드 채택 및 마이그레이션을 고려하도록 합니다. SIEM을 클라우드로 마이그레이션하는 것은 IT의 일반적인 제약, 예를 들어, 느린 가치 실현 시간, 제한된 자원, 비호환 시스템을 해결하는 데 도움이 됩니다. 그러나 이것은 일괄적인 해결책이 아니며 신중한 계획, 실현 가능한 클라우드 비용 최적화 계획 및 비즈니스 우선 순위 및 준수 요구사항과의 일치를 요구합니다.

최근 엘라스틱의 연구 에 따르면 조사된 보안 전문가의 약 44%가 SIEM 마이그레이션 프로젝트를 고려 중이며, 여기에는 51%의 CEO와 52%의 CTO가 포함됩니다. 그러나 SIEM 마이그레이션은 오래 지속되고 자원이 많이 드는 작업입니다. 조직의 규모, 환경의 복잡성, 사용 중인 특정 SIEM 솔루션 및 마이그레이션 범위에 따라 3개월에서 12개월이 걸릴 수 있습니다. 조직의 규모, 환경의 복잡성, 사용 중인 특정 SIEM 솔루션 및 마이그레이션의 범위에 따라 다릅니다.

복잡한 레거시 시스템은 로그 소스를 통합하고 사용자 지정 사용 사례를 이전하는 데 광범위한 수작업을 필요로 할 수 있으며, 내부 팀에 부담을 주고 리스크를 증가시킵니다. SIEM 마이그레이션의 로그 소스 통합 및 탐지 콘텐츠 번역 부분도 부담이 되며, 함정과 불일치를 피하기 위해 상당한 정제 및 조정이 필요합니다.

결론적으로, 전통적인 SIEM 마이그레이션 프로세스는 일반적으로 여러 내재된 과제로 특징지어집니다:

• 복잡성: SIEM 시스템을 마이그레이션하는 것은 복잡한 구성, 규칙 및 쿼리를 전환하는 것을 포함하며, 수작업으로 수행할 경우 오류를 초래할 수 있고 시간이 많이 소요될 수 있습니다.
• 자원 집중도: 마이그레이션 프로세스는 데이터 무결성, 정책 일치 및 시스템 호환성을 보장하기 위해 숙련된 인력과 상당한 자원이 필요합니다.
• 시간 제한: 조직은 마이그레이션 중 장기간의 다운타임을 감당할 수 없으며, 비효율성과 방해를 최소화하기 위해 효율적이고 간소화된 프로세스를 요구합니다.
• 데이터 매핑 및 표준화: 다양한 SIEM 플랫폼 간의 데이터 형식 및 스키마 일치는 데이터 무결성과 정확성을 보장하기 위해 세심한 매핑과 표준화가 필요합니다.
• 규칙 번역: 레거시 시스템에서 새로운 SIEM 플랫폼으로의 규칙과 쿼리 번역은 효율성과 성능을 유지하면서도 도전적일 수 있습니다.

이러한 과제에 대응하기 위해, 마이그레이션 프로세스를 가속화 할 수 있는 솔루션에 대한 수요가 증가하고 있으며 고급 기술을 활용하여 마이그레이션 프로세스의 주요 측면을 자동화하고 간소화하고 있습니다. 이러한 솔루션은 기존 SIEM 구성을 평가하고, 규칙 및 쿼리를 자동으로 번역하며 보안 정책 및 워크플로우의 원활한 전환을 촉진하는 지능형 기능을 제공합니다. at scale, leveraging advanced technologies to automate and streamline key aspects of the migration process. These solutions offer intelligent capabilities to assess existing SIEM configurations, automatically translate rules and queries, and facilitate the seamless transition of security policies and workflows.

2018년, SOC Prime은 Uncoder IO, Sigma 규칙을 SIEM 저장 검색, 필터, 쿼리, API 요청 및 상관으로 변환하는 원클릭 변환을 지원하는 무료 및 비공개 온라인 번역 엔진을 선보였으며, 이는 여러 사이버 보안 언어 간의 격차를 해소하기 위한 산업 최초의 도구가 되었습니다. 2023년, SOC Prime은 도구의 주요 업데이트를 통해 Uncoder의 진화를 로 이끌어 Saad의 AI 조수로 발전시키며 SIEM, EDR 및 Data Lake 네이티브 언어 또는 Roota 및 Sigma와 같은 오픈 소스 언어 형식에 대한 자동 크로스 플랫폼 규칙 및 쿼리 번역을 가능하게 합니다. Uncoder는 이제 집단적인 산업 전문 지식과 인공지능 및 첨단 지능을 결합하여 탐지 규칙을 작성하고, 이를 신속하고 신뢰할 수 있는 쿼리 언어로 번역하며, IOC 컬렉션을 행위 기반 탐지와 함께 패키징하고, MITRE ATT&CK® 사전, 위협 정보, CVE 및 익스플로잇 맥락, 로그 소스 데이터 감사 요구 사항을 포함한 필요한 메타데이터를 단일 도구에서 모두 얻습니다. that enables automated cross-platform rule and query translation for SIEM, EDR, and Data Lake native languages or open-source language formats like Roota and Sigma. Uncoder now fuses collective industry expertise along with artificial and augmented intelligence to write detection rules, quickly and reliably translate them to a preferred query language, pack IOC collections alongside behavior-based detections, and get required metadata, including MITRE ATT&CK® dictionaries, threat intelligence, CVE and exploit context, as well as log source data auditing requirements – all from a single tool. 

SOC Prime 기술과 전문가 서비스 팀이 지원하는 Uncoder AI를 활용하여 조직은 선택한 SIEM으로의 원활한 마이그레이션을 수행할 수 있으며 Uncoder는 14개의 SIEM, EDR 및 Data Lake 기술에 걸쳐 크로스 플랫폼 쿼리 번역을 지원합니다. 이 목록은 보안 전문가가 탐지 콘텐츠 번역의 핵심 표준으로 사용할 경우 40개의 플랫폼으로 확장됩니다. 로 이끌어 or Roota 표준으로

우리는 지속적으로 SOC Prime 사용자에 대한 SIEM 마이그레이션 흐름을 간소화하기 위해 기술을 향상시키고 있습니다. 보안 전문가는 Prime Hunt 를 시작점으로 사용할 수 있으며, 이는 사용하는 SIEM 또는 EDR에 관계없이 위협 조사를 간소화하고 가속화하는 단일 UI를 제공하는 오픈 소스 브라우저 애드온으로 작동합니다. 탐지 규칙 및 쿼리를 브라우저에서 바로 작업 시작할 수 있으며, 탐지 코드의 정제나 다른 보안 언어로의 번역이 필요한 경우, 사용자들은 간단한 클릭 몇 번으로 작업을 Uncoder AI로 자동으로 이동할 수 있습니다. 업데이트된 규칙 및 쿼리는 선택한 SIEM에 배포되거나 SOC Prime 플랫폼 이나 GitHub에 자체 맞춤 저장소에 저장될 수 있습니다.

시장에 있는 다른 콘텐츠 번역 도구 중에서, Microsoft는 Splunk에서의 마이그레이션 프로세스를 간소화하는 것을 목표로 하는 Microsoft Sentinel 내의 베타 기능을 제공합니다. 도구는 주로 SPL에서 KQL 언어 형식으로 탐지 규칙의 마이그레이션을 지원하며, 소스와 대상 코드 간의 매끄러운 전환을 보장할 수 있는 전체적인 마이그레이션 전략을 고려하는 데 다소 부족하며 현재 단일 플랫폼으로 제한됩니다. Microsoft는 Microsoft Sentinel의 내장 규칙이 번역 동안 다루지 않는 탐지 알고리즘의 경우 SOC Prime의 Uncoder IO를 활용할 것을 권장합니다: “Microsoft Sentinel의 내장 룰이 다루지 않는 탐지가 있는 경우, Uncoder.io와 같은 온라인 쿼리 변환기를 사용해 보십시오…”

SOC Prime은 또한 유도된 Splunk 지원 및 마이그레이션 을 제공하여 조직이 리소스 효과를 최적화하고 가치 실현 시간을 가속화할 수 있도록 합니다. Splunk를 활용하는 조직은 상당한 교육이 필요한 솔루션의 복잡성을 다루어야 할 수 있습니다. 게다가, 사용 사례 라이브러리가 확장되고 Sparky의 데이터 수집 기반 라이선싱에 관련된 비용이 계속 증가함에 따라, 다른 SIEM으로의 마이그레이션을 고려할 수 있습니다. Uncoder AI와 SOC Prime의 전문 서비스 팀의 지원을 활용하여 번역 장애 없이 선호하는 차세대 SIEM 플랫폼으로 대량의 데이터를 쉽게 전환할 수 있습니다.

SOC Prime을 통해 레거시 솔루션의 제약을 넘어 차세대 SIEM으로 부드럽게 전환하고, SIEM 마이그레이션 패키지 가 귀하의 예산 및 보안 요구 사항에 완벽히 부합되도록 합니다.