SOC Prime의 Continuous Content Management 모듈로 SIEM 및 XDR의 데이터 스키마 복잡성 극복하기

보안 모니터링 팀은 SOC Prime의 Continuous Content Management 모듈을 사용하여 스키마 인식 탐지 규칙을 직접 배포함으로써 이벤트 데이터 표준화에 관련된 상당한 노력을 우회할 수 있습니다.

오늘날의 사이버 보안 환경은 SIEM 시스템, EDR, NTDR & SOAR 도구, 차세대 XDR 솔루션 및 혁신적 접근 방식으로 인해 기술 병목 현상을 극복하고자 하는 조직들로 넘쳐납니다. 조직들은 고도로 확장 가능한 CI/CD 워크플로우를 구축하여 기술 발전의 동적 속도를 유지하려고 합니다. 데이터 또한 끊임없이 진화하면서 배열 및 관리에 새로운 도전 과제를 제기하고 있습니다. SIEM Detection Engineers, SOC Analysts 또는 SIEM이나 XDR을 사용하는 모든 보안 전문가들은 회사의 인프라에 새로운 데이터 스키마를 채택하여 이러한 변화에 대응해야 합니다.

업계를 선도하는 모든 SIEM & XDR 공급업체는 기존 데이터 스키마를 발전시키고 여러 유형의 데이터를 처리할 수 있는 표준화된 솔루션을 만들기 위해 노력하고 있습니다. 예를 들어, Microsoft는 Azure Sentinel Information Model(ASIM)을 채택하고, Chronicle Security는 동일한 목적을 위해 Unified Data Model(UDM)을 도입했으며, Elastic은 Elastic Common Schema(ECS)의 각 새 버전과 함께 공통 데이터 형식을 개발하고 있습니다.

저는 보안 데이터를 온보딩하는 데 수십만 달러를 소비하는 조직들을 보았습니다. 일부 공급업체가 데이터를 수집하기 위해 반드시 표준화를 요구하는 것은 아니지만, 표준을 준수하지 않는 데이터 위에 콘텐츠를 구축하면 보안 운영 팀에게 엄청난 부담을 주게 됩니다.

안톤 곤차로프

SOC Prime의 최고 제품 책임자

개발자들이 SIEM 및 XDR 데이터 스키마를 개선하고 있는 동안, 기업들은 사이버 보안 데이터를 계속 수집하며 이러한 변화에 재빨리 적응해야 합니다. 새로운 위협이 발생하자마자 즉시 탐지 확장성을 높이고 다양한 형식으로 데이터를 수집할 준비를 해야 합니다. 공급업체 주도 데이터 스키마 필드에 변화가 생기면 새로운 로그가 수정된 형식으로 수집되어 파싱됩니다. 이는 데이터 관리에 상당한 장애물이 되어 로그 검색이나 SIEM 또는 XDR을 사용한 위협 탐지가 악몽으로 변하게 됩니다.

전 세계 SOC 팀이 가장 걱정하는 주요 질문은 위협 탐지 운영에서 다운타임 없이 데이터 스키마 수정을 관리하는 방법입니다. 이 데이터 스키마 복잡성을 극복할 수 있는 가능한 해결책 중 하나는 구현된 모든 위협 탐지 알고리즘과 함께 이를 새로운 데이터 스키마 표준에 맞추어 모든 기존 데이터를 재정렬하는 것입니다. 그러나 이 데이터 통합 방법은 여전히 시간 소모가 크고 상당히 비용이 많이 드는 진행 방법입니다.

SOC Prime의 최고 수익 책임자로 합류하기 전, 저는 유럽 최대 조직들을 보호하는 SIEM 및 SOAR 기술의 핵심으로 24×7 중유럽 첨단 사이버 방어 센터를 구축하는 데 주역이었습니다. 우리는 최신 기술을 구현했지만, 데이터 스키마와 탐지 알고리즘을 유지하고 조정하는 데 막대한 자원을 투자해야 했습니다. SOC Prime의 Continuous Content Management 모듈을 통해 모든 SOC 팀은 이제 데이터 스키마 유지보수에 며칠에서 몇 주를 낭비하지 않고 본연의 임무에 집중할 수 있습니다. — 악을 찾아내고 조직의 핵심 자산을 보호하는 것.

안드레아스 쥐스

SOC Prime의 최고 수익 책임자

The SOC Prime의 업계를 선도하는 플랫폼 협력적 사이버 방어, 위협 사냥 및 탐지 지원을 위한 플랫폼은 Sigma 기반 탐지를 위해 벤더 표준과 일치하는 데이터 스키마 형식을 사용하여 즉석에서 툴 간 번역을 지원합니다. Sigma를 20개 이상의 SIEM 및 XDR 형식 중 하나로 변환할 때, 필드는 선택된 보안 솔루션에 특화된 벤더 주도 데이터 스키마에 따라 매핑됩니다. 따라서 Microsoft Azure Sentinel의 SOC 콘텐츠는 기본적으로 ASIM 데이터 스키마에 맞게 자동 조정되며, Elastic Stack 번역은 이에 따라 ECS 형식에 매핑됩니다.

게다가, SOC Prime의 Detection as Code 플랫폼은 벤더 사양을 초월한 비표준 데이터 스키마 솔루션을 제공합니다. SIEM 및 XDR 벤더들은 계속해서 그들의 표준화를 발전시키고 있기 때문에, 모든 사용자 정의 사례에 맞추고 가능한 모든 로그 소스를 다루기가 어렵습니다. SIEM 탐지 엔지니어 및 SOC 분석가는 벤더 문서로 다루어지지 않는 해당 로그 소스를 가지고 데이터를 처리해야 하는 경우가 종종 있습니다.

SOC Prime의 Detection as Code 플랫폼의 일부로 제공되는 Continuous Content Management(CCM) 모듈은 보안 전문가들이 사용자 정의 데이터 스키마를 적용하고 SIEM 또는 XDR 벤더 측의 포맷 변경에 상관없이 이를 유지할 수 있도록 합니다. CCM 모듈은 콘텐츠 배포 전에 관련 사용자 정의 필드 매핑 버전을 미리 구성한 후, SOC 환경으로 규칙 및 쿼리를 스트리밍할 수 있게 하여 파싱 문제가 발생하지 않도록 합니다.

예를 들어, Winlogbeat를 통해 Windows 로그를 수집할 때, 도구는 이를 자동으로 ECS 데이터 스키마에 맞춰 조정하고 Elasticsearch에 파싱 문제 없이 저장합니다. 그럼에도 비표준 도구를 통한 로그 수집과 기본 데이터 스키마에 자동 매핑할 수 없는 사용자 정의 데이터를 포함하면 추가적인 세부 조정이 필요하고 SOC 팀의 많은 시간이 소요됩니다. 이 글로벌 사용자 정의 필드 매핑 프로필은 Windows 로그 수집 시에 기본 ECS 필드 대신 비표준 필드를 사용하는 SOC Prime 팀이 만든 예입니다.

이 유연한 접근 방식을 통해 하나의 데이터 스키마는 일련의 규칙에 적용되고, 다른 하나는 CCM 작업을 통해 배포하기 전에 콘텐츠 항목의 다른 스택에 적용될 수 있습니다. 최종적으로 자신만의 규칙 버전이 환경 요구에 맞게 자동으로 맞춤화될 수 있습니다.

사용자 정의 데이터 스키마에 의해 강화된 CCM 표준화 기능은 SOC 분석가와 탐지 엔지니어에게 귀중한 시간과 많은 수작업을 절약합니다. 사업적 관점에서 CISO와 SOC 관리자는 팀의 생산성을 극대화하고 비용을 절감하며, 가장 중요한 SOC 작업에 집중하고 데이터 스키마 마이그레이션 위험을 줄일 수 있습니다.

Continuous Content Management 모듈과 그 API는 이제 전체 사이버 보안 커뮤니티에 열려 있습니다. SOC Prime의 새로 출시된 Detection as Code 플랫폼은 CCM 기능에 무료로 액세스할 수 있게 해주므로, 모든 플랫폼 사용자는 그 이점을 누릴 수 있습니다. 제한 사항은 다운로드 가능 콘텐츠의 양, 사용자별로 구성할 수 있는 콘텐츠 목록, 필터 또는 프리셋의 수 등과 같은 임계 기반의 성질입니다. 조직의 비즈니스 요구에 맞춘 유료 구독으로 전체 CCM 모듈을 사용할 수 있습니다.

CCM 모듈은 현재 세계 최고의 SIEM & XDR 클라우드 솔루션을 지원하며 Microsoft Azure Sentinel, Google Chronicle Security, Humio, Sumo Logic 및 Elastic Cloud를 포함하여 Sigma 탐지가 선택한 데이터 스키마에 맞게 클라우드 네이티브 형식으로 변환되는 연속 스트리밍 및 관리를 가능하게 합니다. 클라우드로 탐지 콘텐츠를 스트리밍하는 것 외에도, CCM 모듈은 Splunk 및 Elastic Stack에 대한 온-프레미스 지원도 제공합니다. 보안 엔지니어는 SOC Prime CCM App for Splunk. 

SOC Prime은 알림 및 쿼리로 환경에 자동 배포되는 Sigma 기반 탐지를 분류하여 중요한 업데이트를 도입했습니다. SOC 팀은 이제 탐지 범주를 자신의 목적에 더 잘 맞게 선택할 수 있습니다. — 완전히 테스트되어 결과적으로 잘못된 긍정 결과를 발생시킬 가능성이 적은 알림이나 더 실험적인 성격의 쿼리 를 통해 위협을 조사하거나 사냥합니다. 이는 콘텐츠의 의도된 목적에 대한 모호함을 제거하고, SOC 팀의 업무 부담을 줄이며 SOC 작업을 간소화하는 데 도움이 됩니다. 위협을 조사하거나 사냥하는 데 유용합니다. 이는 콘텐츠의 의도된 목적에 대한 모호함을 제거하여 SOC 팀의 업무량을 줄이고 SOC 운영을 간소화하는 데 도움이 됩니다.

완전히 자동화된 콘텐츠 관리 시스템에 대한 기술적 통찰력을 얻기 위해 전용 블로그 게시물 을 읽고 CCM 모듈의 전체 기능을 탐색하십시오. SOC 팀은 이제 더 넓은 사이버 보안 관객에게 제공되는 SOC Prime의 Detection as Code 플랫폼 에 가입하여 CCM 기능을 직접 체험할 수 있습니다. 벤더 고유의 데이터 스키마에 대한 의존도를 최소화하여 데이터 복잡성의 한계를 뛰어넘고 번거로움 없는 비용 효율적인 콘텐츠 배포 및 관리가 가능합니다.