프로그램



Track D(Hall D)
2025.8.26 14:40 ~ 15:20
mail share facebook share twitter share linkedin share band share kakao
AI 기반 위협 탐지 및 대응 역량 강화가 보안 운영에 가져오는 혁신

엘라스틱서치 코리아

송대근 상무


보안팀은 수많은 보안 경보 중 실제 위협을 식별하고 대응하는 데 막대한 시간과 리소스를 소모하고 있습니다. 특히 SIEM 경보 하나를 분석하는 데 평균 10~15분이 소요되며, 이는 하루 처리 가능한 경보 수를 제한합니다. 본 세션에서는 Elastic Security의 AI 기반 위협 분석 기능을 통해 분석가가 1분 이내에 필요한 문맥 정보를 확보하고 오탐과 정탐을 신속하게 구분할 수 있는 방법을 소개합니다. 또한, 생성형 AI와 AI Assistant를 활용해 침입 대응 보고서를 자동 생성하는 데모를 통해, 실제 보안 운영 효율이 어떻게 혁신적으로 향상될 수 있는지 확인하실 수 있습니다.


강연자료 다운로드


엘라스틱   (B03)
엘라스틱


Elastic Security는 고속의 검색 기술과 확장 가능한 아키텍처를 기반으로, 보안 데이터의 수집, 탐지, 분석, 대응까지 전 과정을 하나의 플랫폼에서 처리할 수 있는 통합 보안 솔루션입니다. 기존 SIEM/EDR 솔루션 대비 높은 유연성과 비용 효율성으로 기업의 보안 운영을 효과적으로 지원합니다.

1. Elastic Security 개요
Elastic Security는 SIEM(Security Information and Event Management)과 EDR(Endpoint Detection and Response) 기능을 통합한 솔루션입니다.

검색 엔진 기반의 빠르고 유연한 데이터 탐색으로, 대규모 보안 로그를 실시간으로 분석할 수 있습니다.
Elastic Stack(Elasticsearch, Logstash, Kibana, Beats)을 기반으로 구동되며, 확장성과 유연성이 뛰어납니다.

2. 주요 기능별 설명
2-1. 데이터 수집 및 통합
- 다양한 보안 장비 및 클라우드 서비스에서 실시간 로그를 수집
- Beats 및 Logstash를 통해 네트워크, 엔드포인트, 시스템 로그를 통합 수집
- 클라우드 환경(AWS, Azure, GCP)과의 연동도 지원

2-2. 실시간 탐지 및 알림
- MITRE ATT&CK 기반 탐지 규칙을 제공하여 위협 행위를 실시간 분석
- 사용자 정의 탐지 룰 구성 가능
- 이상 징후 발생 시 알림 및 자동 대응 가능

2-3. 머신러닝 기반 이상 징후 탐지
- Elastic ML 엔진을 활용해 비정상적인 사용자 행위, 프로세스 활동, 네트워크 트래픽을 자동 탐지
- 사전 학습된 모델 또는 사용자 지정 모델 사용 가능

2-4. 보안 분석 및 시각화
- Kibana 대시보드를 통해 실시간 위협 인텔리전스 분석
- 직관적인 시각화로 빠른 상황 파악 및 보고서 생성 지원

2-5. 엔드포인트 보안 (Elastic Agent 기반 EDR)
- Elastic Agent를 통해 단일 에이전트로 로그 수집 EDR 기능 통합
- 엔드포인트에서 실행되는 프로세스 모니터링 및 위협 탐지

2-6. 사고 대응 및 케이스 관리
- 의심 이벤트를 케이스로 등록하여 분석, 협업, 대응까지 전 과정을 추적
- 외부 티켓 시스템(Jira, ServiceNow 등)과 연동 가능