Stellar Cyber의 데이터 파이프라인 내부: 더욱 스마트한 보안의 숨겨진 엔진

By /

AI 기반 보안, 사이버 보안, IT 기술, MSSP, 네트워크 보안, XDR 열기, 오픈 XDR 플랫폼

개요

최신 SOC는 데이터 양과 복잡성으로 인해 어려움을 겪고 있습니다. 보안 데이터를 충실도 손실 없이 대규모로 필터링, 정규화, 보강 및 라우팅하는 기능은 탐지 정확도, 분석가 효율성 및 규정 준수 태세에 직접적인 영향을 미칩니다. 데이터 과제의 중요성과 이러한 기능의 필요성을 충분히 이해하고 있는 Stellar Cyber의 데이터 파이프라인은 단순한 추가 기능이 아닌 핵심 역량입니다. AI 기반 SecOps 플랫폼 처음부터. 이 백서에서는 Stellar Cyber ​​파이프라인의 기술적 기반과 고유한 아키텍처가 보안 팀이 데이터 소스를 통합하고, 불필요한 정보를 줄이며, 사고 대응을 가속화하는 데 어떻게 도움이 되는지 설명합니다.

소개: 데이터 파이프라인을 넘어서

일부 제품은 데이터 수집 및 이동에만 집중하는 반면, Stellar Cyber는 심층적으로 설계된 데이터 파이프라인을 핵심으로 하는 완전한 보안 운영 플랫폼을 통합합니다. 이 파이프라인은 단순히 데이터를 수집하고 전송하는 데 그치지 않고 여러 단계의 프로세스를 거쳐 데이터를 변환합니다. 탐지 및 대응 워크플로를 위한 적절한 저장소와 S3와 같은 백업 저장소로 필터링, 정규화, 강화, 상관 관계를 지정하고 라우팅합니다.이를 통해 진정한 종단 간 가시성, 감지 및 조치가 가능해집니다.

Stellar Cyber ​​Data Pipeline의 핵심 원칙

조직의 전체 공격 영역에 대한 포괄적인 가시성을 제공하기 위해 Stellar Cyber ​​솔루션은 다양한 데이터 수집 방법을 제공합니다. 분산형 모듈형 센서를 통해 로그 및 네트워크 원격 측정 데이터를 수집하고, 네이티브 API를 통해 다양한 애플리케이션과 통합하며, 서버를 배포할 수 있습니다. 센서 Linux와 Windows 서버 모두에서 데이터를 수집합니다.

1. 에지에서의 트래픽 필터링

중앙의 수집 지점에서만 필터링하는 도구와 달리, Stellar Cyber의 센서는 데이터가 소스를 떠나기 전에 트래픽 및 애플리케이션 필터를 적용합니다. 파이프라인에 도달하는 이벤트는 고급 포워더를 통해 즉시 처리됩니다. 이러한 포워더는 규모에 맞게 세분화된 필터링 규칙을 적용하여 규정 준수, 탐지 또는 분석에 필요한 데이터만 보존합니다. 이러한 사전 수집 필터링은 다음과 같은 이점을 제공합니다.
  • 관련 없는 이벤트를 조기에 제거합니다. (가장자리 부분의 소음 감소).
  • 대역폭 및 저장 요구 사항 감소 중요하지 않은 로그를 미리 삭제합니다.
  • 정책 기반 필터링을 지원하여 유연성을 제공합니다. 애플리케이션 유형, 포트, 프로토콜 또는 사용자 정의 규칙에 따라 다릅니다.

2. 다양한 소스에 대한 정규화

Interflow 정규화 엔진은 다양한 소스의 로그 형식과 스키마를 표준화합니다. 이를 통해 다음과 같은 이점을 얻을 수 있습니다.

  • 머신 러닝이나 규칙을 통한 자동 감지
  • 정규화된 아티팩트를 통해 개별 알림과 사례를 자동으로 연관시킵니다.
  • 맥락화를 위한 일관된 풍부함
  • 반복적인 구문 분석 없이 빠른 다운스트림 분석이 가능합니다.
  • 정확하고 이해하기 쉬운 대시보드, 보고서 및 조사.

3. 수집 시 실시간 상황적 풍부화

데이터가 Stellar Cyber로 유입됨에 따라 XDR 열기 플랫폼은 수집 후가 아닌 실시간으로 인라인으로 강화되어, 신속하고 정확한 탐지 및 대응을 추진하는 고맥락 원격 측정을 제공합니다.

주요 풍부화 차원은 다음과 같습니다.
  • GeoIP 및 ASN 조회: IP가 있는 모든 이벤트에 국가, 도시 및 자율 시스템 데이터를 즉시 추가합니다.
  • 실시간 위협 인텔리전스: 다양한 위협 정보 피드(상업적, 오픈 소스, 고객 정의)와 상관 관계를 맺고 실시간 위험 점수를 적용합니다.
  • 사용자 및 엔터티 확인: Active Directory, Okta, IAM 시스템 및 자산 인벤토리를 통해 로그와 트래픽을 인간 및 기계 ID에 매핑합니다.
  • 응용 프로그램 식별: DPI(Deep Packet Inspection) 엔진과 애플리케이션 지문 분석은 포트 기반 휴리스틱을 넘어 이벤트 명확성을 향상시킵니다.
  • 사용자 정의 태그 및 컨텍스트 주입: 관리자는 비즈니스별 컨텍스트(예: 자산 중요도, 기능, 규정 준수 영역)를 데이터 스트림에 삽입할 수 있습니다.
이러한 심층적인 인라인 강화를 통해 모든 경고 및 조사가 어디서, 언제, 누가, 무엇과 같은 풍부하고 실행 가능한 맥락에서 시작되도록 보장하여 분류 시간을 최소화하고, 탐지 정확도를 높이고, 더 빠른 근본 원인 분석을 가능하게 합니다.

4. 마스킹 및 PII/PHI 삭제

이 파이프라인에는 개인 식별 정보나 보호되는 건강 정보와 같은 민감한 필드를 자동으로 삭제하는 정규식 기반 필터와 마스킹 기능이 포함되어 있습니다. 이를 통해 조직은 보안 분석에 데이터를 활용하는 동시에 규제 요건을 충족할 수 있습니다.

5. 라우팅 및 멀티플렉싱

라우팅 프로필을 사용하면 강화된 이벤트를 여러 대상(SIEM, S3 호환 데이터 레이크 또는 Snowflake, 티켓팅 시스템 또는 분석 클러스터)으로 동시에 전송할 수 있습니다. 이를 통해 팀은 다음과 같은 작업을 수행할 수 있습니다.
  • 공급업체에 대한 종속을 피하세요.
  • 다양한 스토리지, 규정 준수 또는 분석 요구 사항을 충족합니다.
  • 수집 작업을 중복하지 않고 별도의 팀이나 도구에 공급합니다.

6. 실시간 이상 탐지 및 중복 제거

인라인 이상 탐지 및 사후 처리 ML 모듈은 데이터 수신 시 이상값을 식별합니다. 중복 제거 및 집계를 통해 데이터 충실도를 유지하면서도 데이터 볼륨을 더욱 줄여 높은 EPS(주당 평균 처리량)와 하루 수 테라바이트 규모의 환경에 적합합니다.

7. 멀티 테넌트 MSSP 아키텍처

Stellar Cyber는 처음부터 플랫폼에 멀티 테넌트 기능을 구축했습니다. MSSP는 데이터의 완벽한 격리, 다양한 스토리지 옵션, 다양한 보존 기간, 정책 및 보고 등을 통해 여러 고객을 안전하게 관리할 수 있습니다. 이를 통해 MSSP는 고객의 요구에 맞춰 다양한 옵션을 제공할 수 있는 통제력을 확보합니다.

8. 네이티브 플랫폼 통합

파이프라인은 Stellar Cyber의 기본 아키텍처의 일부이며, 볼트온이나 타사 종속성이 없습니다. 이를 통해 다음과 같은 이점이 있습니다.
  • 더 낮은 대기 시간.
  • 더 빠른 업데이트와 확장성.
  • 일관된 보안 및 규정 준수 태세
  • 사후 처리와 데이터 엔진 사이에 즉각적인 피드백 루프가 있습니다.

9. 데이터 마이그레이션 유연성

Stellar Cyber는 커넥터와 라우팅 프로필을 사용하여 기존 SIEM에서 새로운 데이터 레이크 또는 분석 플랫폼으로의 마이그레이션을 지원하여 연속성을 유지하고 비용이 많이 드는 전면 교체 프로젝트를 방지합니다.

확장성 및 성숙도

Stellar Cyber의 파이프라인 아키텍처는 하루 수 테라바이트 규모의 글로벌 배포 환경에서 검증되었습니다. 고객은 병목 현상 없이 수만 개의 엔드포인트와 수십 개의 데이터 소스로 일상적으로 확장할 수 있습니다. 플랫폼의 뛰어난 성숙도 덕분에 보안 팀은 신속하게 배포하고, 광범위하게 통합하며, 프로덕션 환경에서 파이프라인을 신뢰할 수 있습니다.

Stellar Cyber의 데이터 파이프라인이 중요한 이유

파이프라인이 AI 기반 SecOps 플랫폼에 내장되어 있기 때문에 분석가는 정제된 데이터뿐만 아니라 단일 통합 환경에서 자동화된 탐지, 조사 및 대응을 모두 활용할 수 있습니다. 이는 다음을 의미합니다.
  • 더 빠른 MTTR.
  • 분석가의 효율성이 높아집니다.
  • 인프라 비용 절감
  • 섭취부터 치료까지 완벽한 가시성.

결론

Stellar Cyber의 데이터 파이프라인은 단순한 전송 메커니즘을 넘어, 통합된 AI 기반 보안 운영 플랫폼의 핵심입니다. Stellar Cyber는 소스 필터링, 다양한 피드에 대한 정규화, 맥락 정보 보강, 그리고 유연한 데이터 라우팅을 통해 SOC 팀이 대규모로 운영하고, 불필요한 정보를 걸러내며, 위협에 더 빠르게 대응할 수 있도록 지원합니다.

관련 게시물

위쪽으로 스크롤
뉴스 레터 신청