Splunk
Splunk ES는 모든 규모의 조직,
다양한 수준의 전문성을 보유한 보안팀들이 보안 운영을 효율적으로 할 수 있게끔 도와줍니다.
Splunk Enterprise Security
Splunk Enterprise Security (Splunk ES)는 보안팀의 신속한 내부/외부 공격 탐지 및 대응, 리스크 최소화 및 위협 관리 간소화, 비즈니스 보호를 가능하게 해주는 프리미엄 보안 솔루션입니다. Splunk ES는 보안팀이 모든 데이터를 사용하여 조직 전반에 대한 가시성과 보안 인텔리전스를 확보해줍니다. Splunk ES는 온 프레미스, 퍼블릭/프라이빗 클라우드, SaaS 또는 Hybrid 등 다양한 구축 모델을 제공합니다. 그리고 Splunk ES를 다양한 모델로 구축하여 지속적인 모니터링, 사고 대응, 보안관제센터(SoC) 또는 경영진들을 위한 비즈니스 리스크 파악 윈도우 제공 용도로 사용할 수 있습니다.
데이터 통찰력
네트워크, 엔드포인트, 액세스, 멜웨어, 취약성, 아이덴티티 기술로부터 생성된 데이터에 대해 사전정의된 규칙 및 애드혹 검색을 사용하여 상관분석을 실행함으로써 통찰력을 확보
아웃-오브-박스 알림 관리 기능
다이나믹 디스커버리(Dynamic Discoveries), 컨텍스트 검색, 최신 위협 분석의 신속한 탐지 및 분석
유연한 커스터마이징
지속적인 모니터링, 사고 대응, SoC(Security Operations Center), 경영진을 위한 비즈니스 리스크 파악 윈도우 등 어떤 목적으로 구축하든 조직의 필요에 따라 상관검색, 알림, 리포트, 대시보드의 유연한 커스터마이징 가능.
지속적인 보안 상태 모니터링
사전정의된 대시보드, KSI(Key Security Indicators), KPI(Key Performance Indicators), 통계수치, 다이나믹 임계값, 트랜드 지표를 사용하여 조직의 보안 상태에 대한 명확한 그림을 제공합니다.
사고 레벨 우선 순위화 및 대응
중앙화 된 로그, 알림, 사고, 사전정의된 리포트와 상관분석, 사고 대응 워크플로우, 보안 뷰 상관분석을 사용하여 분석가 또는 조사팀의 사고 대응 워크플로우를 최적화 합니다.
신속한 위협 조사
애드혹 검색, 통계, 다이나믹 비주얼 상관분석을 사용하여 악성활동을 파악함으로써 신속한 조사를 실행합니다. 어떤 데이터, 어떤 필드에든 조사와 피봇(Pivot)을 통해 신속하게 위협 컨텍스트를 작성하고 공격자를 추적하여 증거를 검토하고 추가 정보를 확보합니다. 그리고 팀원들과 협업할 수 있도록 지원합니다.
다방면 조사 실행
보안 침해 및 조사 분석을 실행하여 감염된 시스템들과 관련된 작업을 추적합니다. 애드혹 검색과 모든 ES 기능, 조사 일지 및 타임라인을 사용하여 킬체인(Kill Chain) 기법을 적용하고 공격 라이프사이클을 조사합니다.
SIEM
(Security Information and Event Management)
SIEM은 위협 관리, 인시던트 대응, 법적 컴플라이언스 준수를 위해 보안 이벤트 및 네트워크 플로우를 실시간으로 분석합니다. 또한, 위협을 모니터링 및 탐지하고, 보안 이벤트 및 경고를 관리하고, 이벤트를 조사 및 대응하고, 규정 준수를 지원하는 데 사용할 수 있습니다.
Splunk를 SIEM으로 이용하여 진보된 보안시스템을 구축하세요.
모니터링
이상징후 탐지
즉각적인 알람
다각화된 대응
SIEM
보안 운영관리 알람과 위협 이벤트관리, 정책기반 분석, out-of-box 보안 기반 분석
기존의 SIEM 보안시스템을 바꿔야만하는 8가지 이유
1. 제한적인 보안 데이터 타입
제한적인 데이터 타입은 제한적인 조사, 발견, 응답시간으로 이어집니다.
2. 비효율적인 데이터 사용
기존의 SIEM 안에서 데이터 입력을 통한 인식과정은 막대한 노동력과 비용이 들어갑니다.
3. 조사시간 지연
기존 SIEM으로는 로그 검색과같은 단순한 작업도 많은 시간이 소요됩니다.
4. 낮은 확장성과 불안정성
SQL기반의 거대한 데이터베이스를 얻기 위해서는 안정성을 포기합니다. 따라서, 고객들은 종종 서버 다운과 같은 업무에 있어서 심각한 문제를 겪습니다.
5. 사후처리 불가, 확실하지 못한 로드맵
기존 SIEM 벤더들은 보안솔루션 소유권을 이전하거나, 연구개발이 느려 버그, 새로운 보안위협 등 중요한 이슈에 대한 업데이트가 바로 이루어지지 않습니다.
6. 폐쇄적인 솔루션
기존 SIEM 다른 툴과의 연동성이 떨어집니다. 고객은 어쩔 수 없이 SIEM안에서의 방법을 모색하거나, 원하는 툴과 연동하려면 직접 개발해야합니다.
7. 온프레미스에서 제한적
기존 SIEM은 온프레미스에서 배포가 제한적입니다. 따라서, 보안전문가는 무조건 클라우드나 하이브리드 환경에서만 구축을 해야했습니다.
8. 적은 유즈케이스
유즈케이스는 리스크를 줄이는데 큰 도움을 주며, 신규 위협에 관한 즉각적인 반응에 도움을 줍니다.