What is Enterprise Security(ES)?

ES는 기업환경에 최적화 된 탐지 시나리오를 제공하는 스플렁크의 SIEM 솔루션 입니다.


스플렁크 Enterprise Security(이하 ES)는 약 60여개의 보안 이벤트 분석 시나리오를 제공하는 SIEM(Security Information and Event Management) 솔루션입니다. 

스플렁크는 궁극적인 자유도를 제공하지만, 최초 설치시 사용자가 SPL(Search Procedure Language)을 이용해 직접 시나리오를 구현해야 합니다. 

SIEM 구축이 필요한 스플렁크 사용자라면, ES를 사용해 구축 시간을 획기적으로 단축할 수 있습니다.


스플렁크 ES는 Gatner Magicquadrant SIEM 부문에서 6년연속 리더로 선정되었습니다: https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant.html .

탐지시간 단축


기업 자체 인프라 또는 클라우드 등 운영환경에 관계없이, 머신데이터를 파악하고 사용자 환경에 적합한 위협을 신속하게 탐지

조사 간소화


스플렁크 및 관제시스템에서 발생하는 모든 이벤트를 하나의 화면으로 통합하여 기업보안의 효율성을 획기적으로 향상

신속한대응


자동화 된 작업 및 워크 플로우를 통해 동일한 탐지 이벤트에 대해 모든 근무자가 동일하고 적절한 대응을 할 수 있도록 지원

Why Enterprise Security(ES)?


고수준의 위협조사 기능 제공


다양한 고급 탐지 기법 및 조사 제어 기능을 사용하여 시스템 손상 등의 비정상적인 활동을 탐지할 수 있습니다. 여기에는 DNS 신규 도메인 분석, HTTP 범주 및 사용자 에이전트 분석, 트래픽 크기 분석, URL 길이 분석과 같은 위협 인텔리전스가 포함됩니다. 이외에도 인증, 엔드 포인트 변경, 위협 활동, IDS 공격, 맬웨어 공격을 포함해 네트워크, 엔드 포인트, 액세스 등에 가시성을 제공할 수 있는 다양한 시나리오가 제공됩니다.



효율적인 보안이벤트 검토 및 분류 지원


회사 내에서 발생하는 모든 이벤트를 한 화면으로 통합해서 관리가 가능합니다. 마치 TMS 처럼 보안이벤트에 대한 처리상태 모니터링을 지원하며, 팀 구성원간에 의견을 교환하고 상태를 변경해 가며 능동적으로 대응할 수 있습니다.

사고 리뷰기능을 통해 이벤트 별 위험 점수 및 검색기능을 통해 사고의 영향을 신속하게 파악하고 즉각적인 주의가 필요한 문제를 빠르게 식별할 수 있습니다.



자동화된 통계분석


대시 보드는 이벤트 및 프로토콜 데이터의 이상징후를 식별하는 데 도움이됩니다. 대시 보드를 사용하면 임계 값을 자동으로 설정하고 탐지 기준을 정의합니다.

이후 데이터는 임계치를 기준으로 관리되며 임계치를 넘어서는 행위가 발생할 경우 이를 이상징후로 탐지합니다.



자산식별 기능 제공


자산의 위치, 자산 소유자, 중요도 및 시스템 정보에 액세스해야하는 사람을 이해하면 보안 이벤트 및 조사의 우선 순위를 정하는 데 도움이됩니다. 

스플렁크는 보안 이벤트의 위험도 판단에 이러한 자산정보를 반영합니다. 예를 들어 DMZ 서버에서 발생한 공격은  내부망 보다 위험도가 높을 것입니다. 

스플렁크는 이러한 자산식별 기능을 토대로 발생하는 보안이벤트에 점수를 부여할 수 있고, 분석가는 이러한 정보를 통해 대응의 우선순위와 긴급성을 효과적으로 판단할 수 있습니다.



Security Intelligence를 위한 빅데이터 플랫폼 탑재


ES는 다음과 같은 Splunk Enterprise 기능을 활용합니다.

(1) 어떠한 데이터든 처리가 가능합니다.스플렁크는 궁극적 자유도를 제공하는 만큼 사내에서 발생하는 모든 데이터를 저장할 수 있습니다. ES는 스플렁크를 활용해  기업 내 존재하는 모든 데이터를 빠르게 분석 할 수 있습니다.

(2) 확장 성. 스플렁크는 하루에 수백 테라 바이트의 데이터를 저장할 수 있습니다. 스플렁크는 데이터를 인덱스 할 때 스키마를 따로 저장하지 않기 때문에, 저장된 전체 데이터를 빠르게 검색 할 수 있습니다.

(3) 유연한 대시 보드 — 대시 보드는 조직에 중요한 데이터 또는 상관 관계를 빠르게 그래픽으로 볼 수 있도록 구성되어 있어, 개발을 할줄 모르는 일반 사용자도 위젯을 통해 대시보드를 손쉽게 구성할 수 있습니다.

 


자산별 시계열 분석 및 모니터링 기능 제공


시간에 따라 IP 주소에서 발생한 이벤트를 시각적으로 분석합니다. 이러한 시계열 분석을 통해 분석가는 이벤트와 시간 관계에 대한 지능형 분석 이가능합니다.

패킷 포렌식 기반의 네트워크 분석기능 제공


스플렁크는 패킷 포렌식과 유사하게 동작하는 Stream App 기능을 제공합니다. 네트워크의 데이터는 SSL, DNS 및 이메일 활동을 포함하여 악성행위 탐지에 도움이 되는 정보를 얻을 수 있는 중요한 자원입니다.