Cloud SIEM

SOC 분석 및 자동화 기능이 통합된 Cloud SIEM

Sumo Logic Cloud SIEM Enterprise는 보안 분석가가 사내, 하이브리드 및 멀티 클라우드 인프라를 원활하게 모니터링하고 각종 공격의 영향과 배경 정보를 상세히 파악할 수 있도록 더욱 향상된 가시성을 제공합니다. Sumo Logic은 컴플라이언스를 포함하여 광범위한 보안 사용 사례를 지원할 뿐만 아니라 분석 및 자동화 기능을 통합하여 보안 분석 워크플로우를 수행하고 알림(Alert)을 자동으로 분류합니다. 이를 통해 인력 효율성을 높이고 분석가들이 보다 가치 높은 보안 기능에 집중할 수 있도록 도와 드립니다.

보안 운영 방식에 필요한 변화

매일 평균 수천 개의 알림(Alert)이 기업 보안 팀에 제공되지만, 93%는 모든 알림(Alert)을 확인할 수는 없다고 인정합니다. 따라서 SOC(보안 운영 센터)와 소수의 보안 전문가만 직원으로 있는 조직은 몇 가지 까다로운 과제에 직면하게 됩니다.

클라우드 전환

클라우드 마이그레이션 비용은 일반 IT 비용의 6배에 해당하는 속도로 증가하고 있습니다. 보안 팀 4곳 중 3곳은 클라우드 인프라가 그와 유사한 사내 환경보다 보안 알림(Alert)을 더 많이 생성한다는 데 동의합니다. 기존의 보안 툴과 SIEM은 이러한 클라우드 전환을 염두에 두고 구축된 것은 아니므로, 결과적으로 그 어느 때보다 큰 위협 가시성 격차가 발생하게 되었습니다.

보안 위협 환경

앱을 클라우드로 마이그레이션하면 위협 환경이 바뀔 뿐만 아니라 공격을 받는 범위가 폭발적으로 넓어지게 됩니다. 실제로 보안 전문가의 67%는 보안 알림(Alert) 수의 증가가 새로운 위협과 진화하는 위협 때문이라고 답했으며, 55%는 클라우드 인프라의 증가를 원인으로 꼽았습니다.

알림(Alert)으로 인한 피로

보안 팀의 83%는 직원들이 너무 많은 알림(Alert)으로 인한 피로를 겪는다고 답했으며 75%는 매일 발생하는 알림(Alert)을 모두 처리하려면 3명 이상의 분석가를 고용해야 한다고 판단했습니다. 그러나 리소스 및 사이버 보안 기술 전문가는 늘 부족한 상태이며, 이러한 모든 알림(Alert)을 처리하고 수동으로 분류할 수 있을 만큼 많은 인력을 채용할 수도 없습니다.

Cloud SIEM으로 스마트한 보안 운영

오늘날의 기업에는 클라우드 사용을 보호하고, 변화하는 공격 범위에 대응하며, SOC 혁신을 추구하기 위해 SaaS로 제공되는 최신 SIEM이 필요합니다.

클라우드 네이티브 아키텍처

데이터 수집 요구 사항을 충족하려면 엔터프라이즈 SIEM 솔루션을 확장해야 하는데, 사내 SIEM 배포는 종종 부족하거나 과도하게 프로비저닝되는 경우가 있습니다. 또한 클라우드 기반 또는 클라우드 호스팅된 SIEM 툴은 사내 SIEM 애플리케이션 코드를 몇 가지 수정만으로 단순하게 마이그레이션하는 경우가 많습니다. 이에 따라 최종 결과물은 진정한 클라우드 네이티브 아키텍처의 모든 기능을 지원하지 않게 됩니다.

반면, Sumo Logic Cloud SIEM Enterprise는 Sumo Logic의 안전한 클라우드 네이티브 멀티 테넌트 플랫폼을 통해 제공됩니다. 이 제품은 모든 사내, 멀티 클라우드 및 하이브리드 데이터 소스에 탄력적인 확장성을 제공하며, 최대 사용 기간 및 데이터 급증 기간에도 데이터를 수집 및 분석하도록 자동으로 확장됩니다. 클라우드 중립적인 SIEM 솔루션 Sumo Logic은 고객에게 어디에서든 공급업체에 종속될 염려 없이 데이터를 가져올 수 있는 유연성과 자유를 제공합니다.

보안 운영 자동화

Sumo Logic Cloud SIEM Enterprise는 자동화 기능을 통해 실제 보안 분석 워크플로우를 수행합니다. 매일 수백만에서 수십억 개에 이르는 표준화된 기록에서 알림(Alert)의 분석 및 분류를 자동화하여 소수의 실용적인 인사이트로 제공함으로써 노이즈를 없애고 SOC 인력 효율성을 개선할 수 있습니다. 담당 팀이 매일 수천 건의 보안 알림(Alert)이나 '주목할 필요가 있는' 이벤트를 수동으로 점검하는 방식에서 Sumo Logic은 한 걸음 더 나아갑니다. Sumo Logic의 Cloud SIEM Enterprise 솔루션은 즉시 사용 가능한 콘텐츠를 활용하여 몇 주 동안의 중요 인시던트 또는 잠재적인 사이버 공격 활동을 되돌아봄으로써, 위협 모델에서 여러 활동의 연결 고리를 찾는 핵심 분석 단계의 많은 부분을 자동화합니다. 또한 네트워크 트래픽, 사용자 정보 및 서드 파티 위협 피드에서 소싱된 추가 데이터를 자동으로 인사이트에 활용하여 분석가가 인시던트를 조사한 후 대응할 때 더 많은 배경 정보를 제공합니다.

SOC 효율성 개선

“BHG는 Cloud SIEM Enterprise를 통해 보안 운영의 효율성과 효과를 개선했습니다. Cloud SIEM Enterprise의 지원 모델은 일반적인 공급업체의 지원을 능가하며 파트너십에 더 가깝다고 할 수 있습니다.”

Bankers Healthcare Group

Fred Hamilton

정보 보안 관리자

알림(Alert) 노이즈 제거

“우리가 처음에 Cloud SIEM Enterprise를 선택한 이유는 매우 빠르고 간편한 POC에 이어 단 하나의 중요 이벤트도 놓치지 않고 SIEM 알림(Alert) 수를 약 90% 줄일 수 있다는 사실을 알게 되었기 때문입니다. Cloud SIEM Enterprise는 분석가를 위해 더 많은 배경 정보를 생성하고 추가하는 동시에 신호 대 노이즈 비율을 개선하는 데 탁월한 효과를 보입니다. 그 덕분에 우리는 계획했던 SOAR 프로젝트를 무기한 연기할 수 있었습니다.”

GreenSky

Lewis Brodnax

최고 보안 책임자

기능 소개

Sumo Logic Cloud SIEM Enterprise 사용자 인터페이스 및 워크플로우의 모든 기능은 복잡하지 않게, 그리고 보안 분석가가 쉽게 사용할 수 있게 설계되었습니다.

상관 관계 기반 탐지

인사이트는 지능적이고 상관 관계가 있으며 우선순위가 지정된 신호 및 기타 데이터의 클러스터를 의미하며, 분석가가 즉시 조사할 수 있도록 만들어져 있습니다. 인사이트는 분석가가 잠재적인 보안 인시던트에 대해 신속한 대응 결정을 내리는 데 필요한 모든 관련 배경 정보가 담긴 스토리라인을 자동으로 생성하여 제시함으로써 검증 및 조사 시간을 크게 줄여 줍니다.

로그를 통해 신호를 생성하는 알림(Alert) 분석

신호는 패턴 및 위협 인텔리전스 매칭, 상관 관계 로직, 통계 평가 및 이상 징후 감지를 통해 식별되는 알림(Alert)의 모음입니다. Cloud SIEM Enterprise는 이러한 방법을 통해 매일 거의 실시간으로 수백만 개에 이르는 원시 데이터 기록을 수천 개의 신호로 필터링합니다.

자동화된 우선순위 지정 및 알림(Alert) 분류

Cloud SIEM Enterprise 인사이트는 직접 검토가 필요한 관련 신호를 그룹화하기 위해 세계적인 SOC 분석가들이 실행한 작업을 기반으로 한 원칙에 따라 ASC(Adaptive Signal Clustering) 엔진을 통해 생성됩니다. 이러한 인사이트는 종종 감시를 벗어나며 심각도가 낮은 몇 가지 신호를 포함하여 공격 및 공격의 동향에 대한 식별 및 배경 정보를 분석가에게 제공합니다. ASC 엔진 알고리즘은 고객이 패턴을 식별하고, 신호 및 인사이트를 검증하거나, 새로운 검색을 추가함에 따라 지속적으로 개선됩니다. 이에 따라 알고리즘의 신뢰도 수준이 높아지며 모든 Sumo Logic Cloud SIEM Enterprise 사용자들이 그 이점을 얻게 됩니다.

단순한 로그 이상의 원격 보안 정보 수집: 네트워크, 사용자, 애셋 및 API

Sumo Logic Cloud SIEM Enterprise는 단순한 로그 이상의 데이터 수집을 지원합니다. Sumo Logic의 오픈 소스 Zeek 네트워크 보안 모니터는 심층 패킷 검사를 수행하며 네트워크 트래픽 흐름을 프로토콜 수준의 네트워크 세션, 추출된 파일 및 보안 배경 정보로 재구성합니다. 분석가는 Cloud SIEM Enterprise 콘솔을 사용하여 네트워크 트래픽의 원시 세부 정보와 관련 연결 및 프로토콜 활동을 확인하고 이스트/웨스트(East/West) 네트워크 트래픽에 대한 가시성을 확보할 수 있습니다. Cloud SIEM Enterprise는 사용자 및 기기에 대한 자산 정보(Active Directory의 기본 정보 포함)를 수집하여 사용자 및 기기의 비정상적인 활동과 같은 추가 배경 정보를 제공합니다. Cloud SIEM Enterprise의 네이티브 클라우드 API 통합 심층 라이브러리는 API 키를 사용하여 간편하게 데이터 소스(예: Carbon Black, Okta, AWS GuardDuty, Office 365)로부터 원격 수집 보안 정보를 직접 가져올 수 있습니다.

사용 사례

고객이 Cloud SIEM Enterprise를 통해 보안 운영을 현대화하는 구체적인 5가지 사례는 다음과 같습니다.

상관 관계 기반의 위협 탐지

샘플링 없이 모든 알림(Alert) 및 관련 이벤트에 대해 위협의 분석 및 상관 관계 분석을 자동화하여 즉각적인 주의가 필요하고 실제로 중요한 보안 인시던트를 밝혀냅니다.

자동화된 분석 워크플로우

데이터 수집, 상관 관계 분석 및 알림(Alert) 우선순위 지정을 자동화하여 기존 응답 플랫폼(예: Demisto, ServiceNow)에 대한 강력한 검색 기능과 연결성을 통해 조사 작업을 지원함으로써 분석 워크플로우를 가속화합니다.

SecOps 팀을 보조해주는 SOC 전문 인력

Sumo Logic은 수준 높은 최신 공격 및 새로운 위협에 대한 데이터를 지속적으로 평가하며, 동시에 Sumo Logic의 보안 전문가가 고객의 기존 직원들을 지원하고 교육하거나 SecOps 팀의 확장된 리소스로서 필요한 역할을 수행합니다.

사용자 및 네트워크 위협 모니터링

사용자, 엔티티 및 네트워크 간의 데이터 상관 관계를 파악하여 분석가들의 조사 작업에 도움이 되는 추가 배경 정보를 제공합니다. 한편, 심층 패킷 검사 및 Sumo Logic의 네트워크 센서와 VPC 트래픽 미러링을 활용한 AWS는 네트워크 트래픽에 대한 가시성을 제공합니다.

위협 탐색

Cloud SIEM Enterprise를 완벽하게 관리되는 데이터 레이크로 활용하여 보안 팀의 위협 탐색 또는 데이터 사이언스 팀의 조사 활동에 자유로운 검색 기능을 지원합니다.

자세히 알아보기

Sumo Logic Cloud SIEM Enterprise 솔루션 설명서

Sumo Logic은 위협 알림(Alert) 데이터를 자동으로 분석하고 상관 관계를 파악하여 SOC 분석가가 유의미한 위협을 더 효율적으로 발견 및 해결할 수 있도록 지원하는 클라우드 네이티브 SOC(보안 운영 센터) 솔루션을 구축했습니다.

설명서 다운로드

SOC 병목 현상 해결: 감지 및 분석 자동화

SOC 팀은 개별 환경에서 보안 위협을 지속적으로 파악하여 위협을 알리고 대응 조치를 촉구해야 합니다. 하지만 어떻게 하면 대규모 조사에서도 높은 신뢰도로 적절한 탐지 결과를 선별하여 밝혀낼 수 있을까요?

기술 백서 다운로드

클라우드 네이티브 SIEM 플랫폼

오늘날의 엄청난 데이터 볼륨과 더욱 발전된 분석 기능 앞에서 많은 기업이 사내 SIEM의 불완전함을 인식하기 시작했습니다.

기술 백서 다운로드

2020년 SecOps 및 자동화 현황

지난 5년 동안 보안 알림(Alert)은 두 배 이상 증가했습니다. 매일 새로운 알림(Alert)이 쏟아지고 있으며, SecOps 팀의 93%가 모든 알림(Alert)을 전부 확인할 수는 없다고 인정합니다.

보고서 다운로드

개요

운영 인텔리전스l

보안 인텔리전스

비즈니스 인텔리전스

역할 별

산업별

기술 별

사용 사례 별

리소스 센터

Sumo Logic의 우수한 고객지원

Sumo Logic 소개

파트너 프로그램

보안 인텔리전스

SOC 분석 및 자동화 기능이 통합된 Cloud SIEM