Elastic SIEM 1차 검토 결과 – 60점 점수를 주고 싶다.

Elasitc SIEM이 Kibana에 추가되어서 이제 SIEM도 공짜로 쓸 수 있을까 싶어서 몇가지 설치하고 테스트를 해보았습니다.

설치 및 설정

  • 모든 구간에서 https 설정을 해줘야한다.
  • kibana에서 암호키를 설정해줘야 한다.
    xpack.encryptedSavedObjects.encryptionKey: ‘fhjskloppd678ehkdfdlliverpoolfcr’

위 2가지만 잘하면 SIEM 사용이 가능하다.

Timeline 기능
참 재미있는 기능을 만들었다. 실무자 입장에서 유용할 것 같다. 하나의 이벤트에 대해서 도식화가 가능하니, 이 부분도 분석에 유용할 것 같다.

 

상관분석이 안된다. 단일 인덱스에 대해서 검색이 가능하고 타 SIEM 솔루션처럼 상관분석이 안된다. 이 부분은 개발사에서 많이 개선을 해야 겠다.(개발사 사이트를 보면 상관 분석이 될 수 있도록 처음부터 데이터 구조를 변경하라고 나오는데, 흠,,, 이상한 논리다. 그래서 외산 제품이 한국에 들어와서 잘 안된다.)

 

무려 92개의 탐지 룰을 제공한다. 그래서 하나씩 보니 다들 의미는 있는 거겠지만,,, 실무에서 도움이 될까 의심스럽다.

아쉬운 점은 경보 기능이다.

무료 버전에서는 경보 기능을 사용할 수 없는 것으로 보인다. 머신러닝은 유료버전에서만 가능하지만, 경보 기능정도는 넣어줬으면 좋았겠다. 스케줄링을 통해서 탐지만 하고 경보는 못한다면 무료 버전으로 SIEM을 사용하기엔 부담이 된다.

이 부분은 ELP 제품을 사용하면 좋을 것 같다.  Splunk의 SPL처럼 복잡한 분석도 가능하고, 경보 기능도 같이 제공한다.

https://github.com/GamjaPower/ELP/