보안 인텔리전스
Cloud SIEM
Sumo Logic Cloud SIEM Enterprise는 보안 분석가가 사내, 하이브리드 및 멀티 클라우드 인프라를 원활하게 모니터링하고 각종 공격의 영향과 배경 정보를 상세히 파악할 수 있도록 더욱 향상된 가시성을 제공합니다. Sumo Logic은 컴플라이언스를 포함하여 광범위한 보안 사용 사례를 지원할 뿐만 아니라 분석 및 자동화 기능을 통합하여 보안 분석 워크플로우를 수행하고 알림(Alert)을 자동으로 분류합니다. 이를 통해 인력 효율성을 높이고 분석가들이 보다 가치 높은 보안 기능에 집중할 수 있도록 도와 드립니다.
매일 평균 수천 개의 알림(Alert)이 기업 보안 팀에 제공되지만, 93%는 모든 알림(Alert)을 확인할 수는 없다고 인정합니다. 따라서 SOC(보안 운영 센터)와 소수의 보안 전문가만 직원으로 있는 조직은 몇 가지 까다로운 과제에 직면하게 됩니다.
클라우드 마이그레이션 비용은 일반 IT 비용의 6배에 해당하는 속도로 증가하고 있습니다. 보안 팀 4곳 중 3곳은 클라우드 인프라가 그와 유사한 사내 환경보다 보안 알림(Alert)을 더 많이 생성한다는 데 동의합니다. 기존의 보안 툴과 SIEM은 이러한 클라우드 전환을 염두에 두고 구축된 것은 아니므로, 결과적으로 그 어느 때보다 큰 위협 가시성 격차가 발생하게 되었습니다.
앱을 클라우드로 마이그레이션하면 위협 환경이 바뀔 뿐만 아니라 공격을 받는 범위가 폭발적으로 넓어지게 됩니다. 실제로 보안 전문가의 67%는 보안 알림(Alert) 수의 증가가 새로운 위협과 진화하는 위협 때문이라고 답했으며, 55%는 클라우드 인프라의 증가를 원인으로 꼽았습니다.
보안 팀의 83%는 직원들이 너무 많은 알림(Alert)으로 인한 피로를 겪는다고 답했으며 75%는 매일 발생하는 알림(Alert)을 모두 처리하려면 3명 이상의 분석가를 고용해야 한다고 판단했습니다. 그러나 리소스 및 사이버 보안 기술 전문가는 늘 부족한 상태이며, 이러한 모든 알림(Alert)을 처리하고 수동으로 분류할 수 있을 만큼 많은 인력을 채용할 수도 없습니다.
오늘날의 기업에는 클라우드 사용을 보호하고, 변화하는 공격 범위에 대응하며, SOC 혁신을 추구하기 위해 SaaS로 제공되는 최신 SIEM이 필요합니다.
데이터 수집 요구 사항을 충족하려면 엔터프라이즈 SIEM 솔루션을 확장해야 하는데, 사내 SIEM 배포는 종종 부족하거나 과도하게 프로비저닝되는 경우가 있습니다. 또한 클라우드 기반 또는 클라우드 호스팅된 SIEM 툴은 사내 SIEM 애플리케이션 코드를 몇 가지 수정만으로 단순하게 마이그레이션하는 경우가 많습니다. 이에 따라 최종 결과물은 진정한 클라우드 네이티브 아키텍처의 모든 기능을 지원하지 않게 됩니다.
반면, Sumo Logic Cloud SIEM Enterprise는 Sumo Logic의 안전한 클라우드 네이티브 멀티 테넌트 플랫폼을 통해 제공됩니다. 이 제품은 모든 사내, 멀티 클라우드 및 하이브리드 데이터 소스에 탄력적인 확장성을 제공하며, 최대 사용 기간 및 데이터 급증 기간에도 데이터를 수집 및 분석하도록 자동으로 확장됩니다. 클라우드 중립적인 SIEM 솔루션 Sumo Logic은 고객에게 어디에서든 공급업체에 종속될 염려 없이 데이터를 가져올 수 있는 유연성과 자유를 제공합니다.
Sumo Logic Cloud SIEM Enterprise는 자동화 기능을 통해 실제 보안 분석 워크플로우를 수행합니다. 매일 수백만에서 수십억 개에 이르는 표준화된 기록에서 알림(Alert)의 분석 및 분류를 자동화하여 소수의 실용적인 인사이트로 제공함으로써 노이즈를 없애고 SOC 인력 효율성을 개선할 수 있습니다. 담당 팀이 매일 수천 건의 보안 알림(Alert)이나 '주목할 필요가 있는' 이벤트를 수동으로 점검하는 방식에서 Sumo Logic은 한 걸음 더 나아갑니다. Sumo Logic의 Cloud SIEM Enterprise 솔루션은 즉시 사용 가능한 콘텐츠를 활용하여 몇 주 동안의 중요 인시던트 또는 잠재적인 사이버 공격 활동을 되돌아봄으로써, 위협 모델에서 여러 활동의 연결 고리를 찾는 핵심 분석 단계의 많은 부분을 자동화합니다. 또한 네트워크 트래픽, 사용자 정보 및 서드 파티 위협 피드에서 소싱된 추가 데이터를 자동으로 인사이트에 활용하여 분석가가 인시던트를 조사한 후 대응할 때 더 많은 배경 정보를 제공합니다.
Sumo Logic Cloud SIEM Enterprise는 더 효과적인 분석을 위해 분석가가 세심하게 설계하여 구축한 최신 사용자 인터페이스와 함께 간소화된 보안 분석 워크플로우를 제공합니다. 이 시스템은 팀 협업을 위한 이벤트 관리와 연동하여 분석가가 가장 중요한 위협에 집중하면서 직관적으로 알림(Alert)을 확인하고 인시던트를 조사할 수 있도록 지원합니다. Cloud SIEM Enterprise는 정형 및 비정형 데이터 수집 시 구문 분석과 매핑, 표준화된 기록 생성 기능을 제공하므로 분석가는 위협 조사 시 쿼리 언어를 배우지 않고도 신속하게 기록을 심층 검색할 수 있습니다. 또한 Sumo Logic의 플랫폼을 사용하여 표준화되지 않은 모든 데이터에 대해 강력한 전체 텍스트 검색을 수행할 수 있습니다. 이 기능은 특히 특정 사용자, 엔티티, 애플리케이션 또는 프로세스가 엔터프라이즈 및 클라우드 환경에서 어떤 작업을 수행하고 있는지에 대해 더 심층적인 배경 정보를 얻고 싶을 때 유용합니다.
Sumo Logic Cloud SIEM Enterprise 사용자 인터페이스 및 워크플로우의 모든 기능은 복잡하지 않게, 그리고 보안 분석가가 쉽게 사용할 수 있게 설계되었습니다.
인사이트는 지능적이고 상관 관계가 있으며 우선순위가 지정된 신호 및 기타 데이터의 클러스터를 의미하며, 분석가가 즉시 조사할 수 있도록 만들어져 있습니다. 인사이트는 분석가가 잠재적인 보안 인시던트에 대해 신속한 대응 결정을 내리는 데 필요한 모든 관련 배경 정보가 담긴 스토리라인을 자동으로 생성하여 제시함으로써 검증 및 조사 시간을 크게 줄여 줍니다.
신호는 패턴 및 위협 인텔리전스 매칭, 상관 관계 로직, 통계 평가 및 이상 징후 감지를 통해 식별되는 알림(Alert)의 모음입니다. Cloud SIEM Enterprise는 이러한 방법을 통해 매일 거의 실시간으로 수백만 개에 이르는 원시 데이터 기록을 수천 개의 신호로 필터링합니다.
Cloud SIEM Enterprise 인사이트는 직접 검토가 필요한 관련 신호를 그룹화하기 위해 세계적인 SOC 분석가들이 실행한 작업을 기반으로 한 원칙에 따라 ASC(Adaptive Signal Clustering) 엔진을 통해 생성됩니다. 이러한 인사이트는 종종 감시를 벗어나며 심각도가 낮은 몇 가지 신호를 포함하여 공격 및 공격의 동향에 대한 식별 및 배경 정보를 분석가에게 제공합니다. ASC 엔진 알고리즘은 고객이 패턴을 식별하고, 신호 및 인사이트를 검증하거나, 새로운 검색을 추가함에 따라 지속적으로 개선됩니다. 이에 따라 알고리즘의 신뢰도 수준이 높아지며 모든 Sumo Logic Cloud SIEM Enterprise 사용자들이 그 이점을 얻게 됩니다.
Sumo Logic Cloud SIEM Enterprise는 단순한 로그 이상의 데이터 수집을 지원합니다. Sumo Logic의 오픈 소스 Zeek 네트워크 보안 모니터는 심층 패킷 검사를 수행하며 네트워크 트래픽 흐름을 프로토콜 수준의 네트워크 세션, 추출된 파일 및 보안 배경 정보로 재구성합니다. 분석가는 Cloud SIEM Enterprise 콘솔을 사용하여 네트워크 트래픽의 원시 세부 정보와 관련 연결 및 프로토콜 활동을 확인하고 이스트/웨스트(East/West) 네트워크 트래픽에 대한 가시성을 확보할 수 있습니다. Cloud SIEM Enterprise는 사용자 및 기기에 대한 자산 정보(Active Directory의 기본 정보 포함)를 수집하여 사용자 및 기기의 비정상적인 활동과 같은 추가 배경 정보를 제공합니다. Cloud SIEM Enterprise의 네이티브 클라우드 API 통합 심층 라이브러리는 API 키를 사용하여 간편하게 데이터 소스(예: Carbon Black, Okta, AWS GuardDuty, Office 365)로부터 원격 수집 보안 정보를 직접 가져올 수 있습니다.
고객이 Cloud SIEM Enterprise를 통해 보안 운영을 현대화하는 구체적인 5가지 사례는 다음과 같습니다.
샘플링 없이 모든 알림(Alert) 및 관련 이벤트에 대해 위협의 분석 및 상관 관계 분석을 자동화하여 즉각적인 주의가 필요하고 실제로 중요한 보안 인시던트를 밝혀냅니다.
데이터 수집, 상관 관계 분석 및 알림(Alert) 우선순위 지정을 자동화하여 기존 응답 플랫폼(예: Demisto, ServiceNow)에 대한 강력한 검색 기능과 연결성을 통해 조사 작업을 지원함으로써 분석 워크플로우를 가속화합니다.
Sumo Logic은 수준 높은 최신 공격 및 새로운 위협에 대한 데이터를 지속적으로 평가하며, 동시에 Sumo Logic의 보안 전문가가 고객의 기존 직원들을 지원하고 교육하거나 SecOps 팀의 확장된 리소스로서 필요한 역할을 수행합니다.
사용자, 엔티티 및 네트워크 간의 데이터 상관 관계를 파악하여 분석가들의 조사 작업에 도움이 되는 추가 배경 정보를 제공합니다. 한편, 심층 패킷 검사 및 Sumo Logic의 네트워크 센서와 VPC 트래픽 미러링을 활용한 AWS는 네트워크 트래픽에 대한 가시성을 제공합니다.
Cloud SIEM Enterprise를 완벽하게 관리되는 데이터 레이크로 활용하여 보안 팀의 위협 탐색 또는 데이터 사이언스 팀의 조사 활동에 자유로운 검색 기능을 지원합니다.
Sumo Logic은 위협 알림(Alert) 데이터를 자동으로 분석하고 상관 관계를 파악하여 SOC 분석가가 유의미한 위협을 더 효율적으로 발견 및 해결할 수 있도록 지원하는 클라우드 네이티브 SOC(보안 운영 센터) 솔루션을 구축했습니다.
설명서 다운로드SOC 팀은 개별 환경에서 보안 위협을 지속적으로 파악하여 위협을 알리고 대응 조치를 촉구해야 합니다. 하지만 어떻게 하면 대규모 조사에서도 높은 신뢰도로 적절한 탐지 결과를 선별하여 밝혀낼 수 있을까요?
기술 백서 다운로드지난 5년 동안 보안 알림(Alert)은 두 배 이상 증가했습니다. 매일 새로운 알림(Alert)이 쏟아지고 있으며, SecOps 팀의 93%가 모든 알림(Alert)을 전부 확인할 수는 없다고 인정합니다.
보고서 다운로드중요한 정보는 모두 제공되므로 따로 검색하실 필요가 없습니다