SIEM 상관관계 규칙: 위협 탐지 기능 강화
로그는 기업의 모든 구석구석의 실시간 활동을 나타냅니다. 각 감사 로그에는 사용자의 활동, 매개변수, 리소스 및 타이밍에 대한 정보가 포함되어 있어, 진정한 금광과 같은 데이터입니다. 그러나 이를 사용하여 기업을 보호하려면 데이터만 필요한 것이 아닙니다. 로그를 연결하여 안전한지 악성인지 식별해야 합니다. 공격자가 페이로드를 배포하거나 데이터를 훔치기 전에 모두 필요합니다. 여기서 상관 관계 규칙이 빛을 발합니다.
분석에서 상관관계는 두 요소 간의 관계 또는 연결을 의미합니다. 각 로그 데이터 간의 관계를 매핑하고 생성함으로써 상관관계를 파악할 수 있습니다. SIEM 상관관계 규칙, 당신의 SIEM 각 데이터 포인트를 서로 연관시켜 통합적으로 모니터링할 수 있습니다. 마지막으로, 이러한 데이터 시퀀스에 규칙을 추가하여 안전한 트래픽인지 잠재적으로 악의적인 트래픽인지 식별합니다. 정상적인 트래픽은 허용되고, 악성 또는 의심스러운 트래픽은 그렇게 표시되어 차단됩니다.
다음 세대 SIEM
스텔라 사이버 차세대 SIEM스텔라 사이버의 핵심 구성 요소로서 Open XDR 플랫폼...
AI 기반 보안을 실제로 경험해 보세요!
즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!
방법 SIEM 상관관계 규칙이 작동합니다
1단계: 로그 중앙화
모든 시스템의 로그가 수집되어 다음으로 전달됩니다. SIEM이는 센서와 에이전트, 즉 엔드포인트 장치, 네트워크 및 서버에 설치되어 네트워크를 통해 전송되는 데이터 패킷과 장치에서 실행되는 작업을 수동적으로 모니터링하는 작은 소프트웨어 덕분에 가능합니다. 이 단계에서는 SIEM 이 도구는 이러한 로그를 중앙 분석 엔진으로 가져오는 프로세스를 시작합니다.
2단계: 데이터 정규화
로그는 인프라의 모든 측면을 포괄하지만, 인프라는 매우 다양한 애플리케이션, 서버 및 하드웨어로 구성되어 있으며, 각각 고유한 로그 항목 목록 형식을 가지고 있습니다. 서로 다른 소스의 이벤트 로그는 정보 필드와 데이터 구조가 크게 다를 수 있습니다. 두 번째 단계는 SIEM 상관관계 분석은 이러한 로그들을 정규화하는 작업으로, 서로 다른 로그들을 일관되고 표준화된 형식으로 분석하는 방식으로 작동합니다.
이 로그 데이터의 정규화가 효율적일수록 속도가 빨라집니다. SIEM 위협 탐지 기술을 분석하고 적용하기 시작할 수 있습니다.
3단계: 데이터 상관관계
이제 모든 로그 데이터가 수집되었으므로 상관관계 분석 엔진은 데이터가 일반적인 패턴에 얼마나 부합하는지 확인할 수 있습니다. SIEM 기존의 도구들은 개별 문자열을 식별하는 데에만 그치지만, Stellar와 같은 고급 솔루션은 요청 및 응답 매개변수와 같은 다른 속성까지 고려하여 상관관계를 분석합니다. 이를 통해 동작과 관련된 주체 간의 관계를 더욱 명확히 파악할 수 있습니다.
이는 상당히 높은 수준이므로 실제 공격의 맥락에서 데이터 상관 관계를 고려해 보겠습니다. 공격자가 IAM(Identity and Access Management) 공급자를 통해 기업에 무차별 대입 공격을 시도하는 상황을 고려해 보겠습니다. 관련된 동작에는 액세스를 얻기 위한 지속적인 로그인 시도 캠페인(동작 A)이 포함될 수 있으며, 그 다음에 성공적인 로그인(동작 B)이 이어질 수 있습니다. 그런 다음 관리자 콘솔에 액세스하여 권한이 상승된 새 사용자를 만들거나 취약한 영역과 민감한 리소스를 파악하기 위해 일련의 포트 스캔을 시작할 수 있습니다. 이 동작을 C라고 부르겠습니다.
규칙 기반 상관관계 분석을 통해 각 기법, 전술 및 절차(TTP)를 순서대로 배열할 수 있습니다. 이러한 순차적 상관관계는 규칙 동작을 트리거하고, 이 동작은 경고를 통해 분석가에게 전달됩니다. 이러한 속성들이 결합되는 방식이 바로 식별 능력을 정의합니다. SIEM 도구입니다.
규칙 기반 vs 행동 상관관계
방금 살펴본 공격에 관련된 액션은 두 가지 방법으로 발견할 수 있습니다. 첫 번째는 '액션 A 다음에 B가 이어지고 C가 이어지면 경고를 트리거합니다'라고 명시적으로 명시한 규칙을 통한 것입니다. 분석가가 이 공격의 가능성을 미리 알고 있고 공격자가 취할 수 있는 TTP에 대한 대략적인 아이디어를 가지고 있다면 이 방법이 매우 효과적입니다.
하지만 이것이 유일한 접근 방식은 아닙니다. 무차별 대입 공격은 '일련의 행동이 최종 사용자의 정상적인 인증 동작에서 벗어나면 경고를 발생시킨다'는 보다 일반적인 규칙을 통해서도 탐지될 수 있습니다. 이 규칙은 다음을 기반으로 합니다. SIEM 최종 사용자의 일반적인 행동 방식을 역사적으로 파악하는 것이 이제 가능해졌습니다. 중앙 집중식 로그를 머신 러닝 알고리즘에 입력하여 분석하기 때문입니다. 이를 통해 사용자, 장치 및 트래픽 행동의 일일 패턴을 쉽게 파악하고, 행동 상관관계를 기반으로 전략을 수립할 수 있습니다. SIEM 규칙. 행동 상관관계는 종종 '위험 점수'를 산출하는 데 사용되며, 분석가들은 이에 대한 허용 가능한 임계값을 설정합니다.
위협을 식별하는 다양한 접근 방식이 두 배로 늘어났기 때문에, 적극적으로 위협을 감시하는 것이 그 어느 때보다 중요해졌습니다. SIEM 규칙을 간결하게 다듬고 효율성을 높이는 최적의 방법을 아래에서 살펴보겠습니다.
Benefits of SIEM 위협 탐지를 위한 상관관계 규칙
서명 기반 위협 탐지
대다수의 공격은 특별히 독창적이지 않습니다. 악성 코드를 복사해서 붙여넣는 기회주의적인 공격은 너무 흔해서 '스크립트 키디'라는 별명까지 붙었습니다. 이것이 바로 대다수의 공격이 이러한 방식으로 이루어지는 이유입니다. SIEM 공격 표면 보호는 시그니처 기반 탐지를 통해 이루어집니다.
악성코드 시그니처 사이트 저장소는 끊임없이 확장되고 있으며, 그중 가장 잘 알려진 것 중 하나는 M&TRE ATTACK 데이터베이스입니다. 이 데이터베이스는 공격자들이 사용하는 특정 공격 방식을 식별하여 보안 전문가에게 오픈 소스 데이터베이스를 제공합니다. SIEM 규칙. 이러한 규칙 집합은 알려진 악의적인 행위의 패턴을 정의하는 데 기반합니다.
하지만 더 널리 퍼질수록 SIEM 이 규칙은 공격자가 이를 회피하는 데 더 많은 노력을 기울일수록 더욱 효과적이라는 것을 의미합니다. 따라서 상관관계 규칙은 공격자와 보안 분석가 간의 끊임없는 경쟁 속에 놓이게 됩니다. 그리고 보안 팀이 너무 많은 규칙을 만들기 시작하면, 공격자들의 공격에 압도될 위험이 있습니다. SIEM 오 탐지.
Stellar Cyber는 순수 상관관계 기반 방식이 직면했던 기존의 어려움을 해결합니다. SIEM머신러닝 분석을 한 단계 더 추가함으로써 가능합니다. 분석가는 상관관계 규칙을 사용하여 가능한 한 많은 경우를 검토할 수 있으며, 두 번째 분석 단계에서는 각 경고의 더 넓은 맥락을 평가하여 그 타당성을 판단합니다.
실제 위협에 대한 미리 채워진 규칙
상관관계 규칙은 해커가 리소스에 대한 액세스를 시도하기 위해 반복적으로 사용하는 일반적인 위협을 식별하기 위해 특별히 구축되었습니다. 그러나 단일 기업의 IT 팀은 실제 TTP에 대한 최신 이해가 없을 수 있습니다. 결국 위협 인텔리전스는 악의적인 행위자, 기술 및 손상 지표에 대한 데이터를 지속적으로 수집, 처리 및 적용해야 합니다.
이것이 사전 패키지 상관 관계 규칙이 그토록 이점인 이유입니다. 이러한 사전 채워진 접근 방식은 업계와 더 넓은 위협 공간에 대한 거시적 관점에서 구축됩니다. 각 행동 변화는 레이블을 지정하고 알림 유형에 연결할 수 있으므로 로그 알림의 산발적 특성을 보다 간소화된 전체로 줄일 수 있습니다.
데이터 및 액세스 규정 준수
거의 모든 산업 분야의 기업은 특정 법률, 규칙 및 규정을 준수함을 입증해야 하며, 이러한 법률, 규칙 및 규정은 업종에 따라 달라집니다. 유럽 지사는 GDPR을 준수해야 하며, 결제 중심 기업은 PCI DSS를 준수해야 합니다.
GDPR은 조직의 모든 기술 프로세스 전반에 걸쳐 데이터 보안을 요구하는 가장 엄격하고 광범위한 규정 중 하나입니다. 왜냐하면 SIEM 로그에는 조직의 모든 자산과 사용자 계정이 기록되므로, 이러한 목표를 달성하는 데 매우 유리한 위치에 있습니다.
상관관계 규칙의 진정한 장점은 바로 보편적인 적용 가능성입니다. 비정상적인 로그 세트가 발견될 때마다 경고를 전송함으로써 분석가에게 잠재적인 규정 준수 문제에 대한 사전 경고를 제공합니다. 또한 자체 규칙을 작성할 수 있으므로 보안 구조의 기초부터 규정 준수 요건을 반영할 수 있습니다. 예를 들어 PCI DSS에서 모든 엔드포인트 안티멀웨어를 최신 상태로 유지하도록 요구하는 경우, 해당 요건을 충족하는 규칙을 구현할 수 있습니다. SIEM 악성코드 방지 솔루션이 업데이트되지 않았을 때 알려주는 규칙입니다. (더 자세한 내용은 고급 설명 참조) SIEM 이러한 도구를 사용하면 전체 프로세스를 자동화하는 동시에 작업에 대한 포렌식 파일을 유지할 수 있습니다. 이러한 도구는 프로세스 가속화에 도움을 줍니다. SIEM이는 특히 GDPR과 같은 규정의 맥락에서 매우 중요하며, 보안 사고 발생 시 이를 알리고 해결할 수 있는 시간이 72시간으로 매우 짧습니다.
다단계 공격 및 APT(지능형 지속 위협) 탐지
개별 상관관계 규칙은 충분히 간단하지만, 로그의 순수한 세분성으로 인해 훨씬 더 날카로운 해결과 완화가 가능합니다. 여기서 복합 규칙은 보다 진보된 위협을 식별하는 데 탁월할 수 있습니다. 복합 규칙은 여러 규칙을 중첩하여 특정 컨텍스트 내의 특정 동작을 파악합니다. 예를 들어, 동일한 워크스테이션(및 동일한 IP 주소)에서 X개의 로그인 시도가 X분 이내에 실패하고 다른 사용자 이름을 사용하는 경우, 그리고 네트워크 내의 모든 컴퓨터에서 성공적인 로그인이 발생하고 동일한 IP 주소에서 발생하는 경우 경고가 트리거됩니다.
복합 규칙은 APT 진입점을 차단하는 데 필수적일 수 있습니다. 침입자가 조직의 네트워크에 처음 접근하여 안전한 접근 지점을 찾은 다음 아무 것도 하지 않는 경우입니다. 위협이 잠복해 있는 것처럼 보일 수 있지만, 적절한 시기를 기다리고 있거나 진행 중인 익스플로잇의 구매자를 기다리고 있을 가능성이 큽니다. 침입자는 원할 때 방화벽을 통과하여 데이터를 훔치거나 맬웨어를 배포할 수 있으며, 계정이나 동작은 안전하다고 가정합니다.
간단한 상관관계 규칙은 전통적으로 APT를 발견하는 데 신뢰할 수 없었습니다. 분석가가 잠재적인 TTP를 인식하지 못하면 위협을 발견할 가능성이 낮습니다.
따라서 가장 신뢰할 수 있는 접근 방식은 복합 규칙보다 한 단계 더 나아간 것입니다. 현대적 행동 모델은 과거 행동을 분석 엔진으로 끌어올릴 수 있도록 합니다. 그런 다음 들어오고 나가는 네트워크 트래픽에 대한 지속적인 분석을 통해 사용자의 예상 행동에서 벗어나는 모든 편차를 위험하다고 표시할 수 있습니다.
구축을 위한 모범 사례 SIEM 상관 관계 규칙
사용 사례의 우선순위 지정
처음 적용할 때 SIEM 귀사에, SIEM 모범 사례에 따르면 여러분은 구체적인 사용 사례를 명확하게 파악해야 합니다. SIEM 해결할 수 있습니다. 우선순위 순으로 나열된 이러한 사용 사례를 집중적으로 분석하고, 미리 구성된 규칙이 기업 환경에 얼마나 적합한지 평가해야 합니다. 그 후에는 각 세부적인 상관관계 규칙 섹션을 자유롭게 편집하거나 추가할 수 있습니다.
귀하에게 어떤 특정 공격 기술이 사용될 수 있는지 모르는 경우 다음을 확인하세요. MITER ATT & CK or 록히드의 사이버 킬 체인. 둘 다 공격자의 특정 접근 방식과 악용 사례를 놀라울 정도로 심도 있게 카탈로그화하는 엄청난 작업을 수행합니다.
방화벽을 활용하세요
-
- A "불량 네임 서버" 규칙은 내부 회사 DNS 서버가 아닌 다른 목적지로 DNS 애플리케이션에 액세스하려는 모든 장치를 모니터링해야 합니다. 내부 장치는 회사 DNS 서버만 사용하도록 구성해야 하며, 그런 다음 필요에 따라 인터넷에 도달하여 알 수 없는 도메인을 해결해야 합니다.
- A "불량 프록시 서버" 규칙은 TCP 포트 80/443에서 인터넷으로 향하는 LAN 서브넷의 모든 트래픽이나 웹 브라우징 및 SSL 애플리케이션에 대해 경계 방화벽을 준수해야 합니다. 이상적으로는 지정된 프록시 서버의 트래픽만 허용해야 합니다. 이러한 유형의 연결을 시도하는 다른 소스 IP는 사용자 또는 맬웨어에 의한 보안을 우회하려는 시도를 나타낼 수 있습니다.
- A “BOTNET 트래픽” 규칙은 관리를 위해 인터넷 릴레이 채팅(IRC)을 사용하는 오래된 명령 및 제어(C2) 소프트웨어를 식별할 수 있습니다. IRC는 본질적으로 악의적이지 않지만 기업 네트워크에 있는 경우 종종 의심스럽습니다. 이 규칙은 소스 또는 대상 호스트가 IRC를 사용하는 경우 경고를 트리거해야 하지만 특정 네트워크 관리 컴퓨터는 제외가 필요할 수 있습니다.
열려있는 포트 최소화
기본적으로 포트 514에서 수신하는 센서는 들어오는 로그를 분석합니다. 이는 소스 장치를 식별하는 데 도움이 됩니다. 포트 514를 사용하는 대신 로그 유형에 대해 보다 타겟팅된 포트를 지정하면 여러 가지 이점이 있습니다. 데이터 수집 및 로그 구문 분석을 가속화하여 센서가 소스 장치를 즉시 식별할 수 있으므로 센서 성능이 향상됩니다. 마지막으로 올바른 포트를 기반으로 상관 관계 규칙을 만드는 것은 로그 정보를 보존하는 데 매우 중요합니다.
대신, 형식에 따라 적절한 포트를 선택하세요.
- CEF(Common Event Format), LEEF(Log Event Extended Format) 또는 JSON: 이러한 로그 유형의 경우 해당 표준에 할당된 포트로 데이터를 전달합니다.
- 표준 Syslog 형식 로그: 특정 공급업체에 지정된 포트를 사용합니다.
- 정규 표현식, 키-값 쌍 또는 CSV와 결합된 Syslog와 같은 특수 형식의 경우 공급업체별 포트를 활용하세요.
위협 사냥
사전 예방적 위협 탐지를 잘 구성된 시스템과 함께 구현합니다. SIEM 이 시스템은 위협 탐지 기능을 크게 향상시켜 자동화된 로그 분석의 분석력을 상당히 강화합니다. 적절하게 조정된 시스템은 SIEM 이 시스템은 알려진 여러 위협을 효과적으로 모니터링하고 경고할 수 있을 뿐만 아니라, 자동화된 위협 탐지 기능을 추가하여 표준 상관관계 규칙을 우회할 수 있는 정교하고 진화하는 또는 은밀한 공격을 탐지할 수 있습니다.
위협 탐지 SIEM Stellar Cyber와 같은 도구는 경고 또는 이상 징후가 발생한 후 실제 공격 가능성을 시뮬레이션합니다. 이러한 지속적인 검증 프로세스를 통해 상관 관계 규칙이 정확하고, 적응 가능하며, 새로운 공격 방식에 효과적으로 대응할 수 있도록 보장합니다. 또한 경고 우선순위 지정에도 활용되며, 분석가가 수동으로 위협을 탐지할 수 있는 기반을 제공합니다. 분석가는 멀웨어 샌드박스 기록을 검색하여 공격 시도를 식별하고, 자신에게 가해진 공격에 대해 더 자세한 정보를 얻을 수 있습니다.
신속한 대응을 위한 통합
통합 SIEM 더 넓은 기술 스택 내에서의 통합은 위협을 효과적으로 탐지, 분석 및 대응하는 능력을 향상시킵니다. 여기에는 다음을 연결하는 것이 포함될 수 있습니다. SIEM 엔드포인트 탐지 및 대응(EDR), 위협 인텔리전스 플랫폼, 사고 대응 시스템, 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션과 같은 도구를 활용합니다. 더 나아가, 보안 도구와의 통합은 자동화된 위협 대응을 위한 기반을 마련해 주며, 이는 Stellar Cyber의 핵심 목표입니다.
Stellar Cyber의 케이스로 기본 규칙을 넘어서세요
Stellar Cyber는 규칙 생성에 다중 모달 방식을 사용합니다. 상관 관계 규칙과 ML 기반 행동 분석의 스택된 덱을 제공하며, 기업 전체에서 생성된 모든 로그를 최대한 활용합니다. 로그 데이터가 개별 규칙을 트리거할 때 알림이 생성되지만 Stellar는 이를 통합된 사례로 상관 관계를 맺으며, 각각은 단일 데이터 구조 내에서 잠재적으로 연결된 알림의 모음을 나타냅니다. 거기에서 분석가는 MTTR을 최소화하도록 설계된 플레이북과 수정 옵션 모음을 제공받습니다.
Stellar Cyber의 경고 교차 검증은 더 깊은 맥락을 제공하여 분석가가 진짜 공격, 고위험 행동 또는 단순히 우연한 사건을 처리하고 있는지 판단할 수 있도록 합니다. 자동 응답을 설정하고 악성 트래픽을 즉시 차단하는 방법을 알아보세요. 오늘은 데모를 보여드리겠습니다.
