Elastic Security Labs에서 열심히 일하고 있습니다! 방금 새로운 보고서인 2025 Elastic의 탐지 엔지니어링 현황을 발표했습니다. 이 보고서에서는 사전 구축된 SIEM 탐지 규칙 및 엔드포인트 보호 동작 규칙 집합을 개발하고 유지 관리하는 작업에 대해 자세히 살펴봅니다.
이 보고서에서는 사용자를 보호하기 위해 어떻게 노력하고 있는지 살펴보고 다음과 같은 탐지 엔지니어링의 세계에 대한 귀중한 인사이트를 얻을 수 있습니다:
- CUPS 취약점 및 Windows 로컬 권한 에스컬레이션과 같은 실제 위협을 분석하는 방법.
- 자동화 및 탐지 엔지니어링 행동 성숙도 모델(DEBMM)을 포함한 강력한 규칙 개발 전략.
- AWS, Okta 등과의 통합 강화를 통한 Elastic Security의 개선.
- 규칙 효과를 보장하기 위한 내부 지표 및 평가 프로세스.
- Elastic 글로벌 위협 보고서와의 파트너십과 AI 위협 탐지를 포함한 향후 계획에 대해 알아보세요.
이 보고서는 10월부터 2024년 10월까지( 2023 ) 1년간의 탐지 엔지니어링 노력을 담고 있습니다. 저희는 2023 Elastic 글로벌 위협 보고서에 따른 작업을 캡처하고 의미 있는 패턴을 식별할 수 있는 충분한 데이터를 수집하기 위해 이 기간을 선택했습니다.
저희는 1년 동안의 탐지 엔지니어링 노력에 대한 모든 상황별 데이터를 수집하고 분석하여 저희가 하는 일과 그 방법에 대한 스토리를 구축했습니다. 보안 연구소의 위협 연구 간행물을 비롯하여 규칙 저장소 전반의 활동, 알림 원격 분석 및 운영 메트릭 데이터에서 얻은 GitHub 메타데이터는 탐지 엔지니어링 노력을 안내하고 평가하는 데 사용됩니다. 또한 위협 연구자, 탐지 엔지니어, 데이터의 배후에 있는 개발자와 인터뷰 형식으로 일련의 대화를 진행했습니다. 저희는 고객이 보는 결과물(탐지 규칙, 위협 연구 문서 등)의 이면에 있는 프로세스의 세부 사항을 자세히 알아보고 싶었습니다. 그런 다음 이러한 세부 사항을 종합하여 더 큰 커뮤니티에 도움이 될 수 있는 일관된 스토리를 만듭니다.
기존의 설문조사 형식의 탐지 엔지니어링 현황 보고서에서 벗어나 탐지 엔지니어링 관행의 장막을 걷어내고 있습니다. 보안 도구 제작자가 비공개로 유지하는 정보를 공개함으로써 사용자에 대한 약속을 지키고 보안 여정에서 여러분은 혼자가 아니라는 사실을 강조하고자 합니다. 저희는 모든 단계에서 여러분과 함께합니다.
토론은 계속됩니다.
Elastic 보안 연구소는 Elastic 고객 여부와 관계없이 보안 커뮤니티에 심층적인 연구를 제공하기 위해 최선을 다하고 있습니다. Elastic Security 솔루션을 관리하고 활용하는 방법에 대한 세부 정보를 공유함으로써 탐지 엔지니어링에 대한 더 폭넓은 대화를 촉발하고 커뮤니티가 우리의 작업에 책임을 지도록 장려할 수 있기를 바랍니다. 이 보고서를 더 자세히 살펴보고 싶으시다면 Elastic의 블로그에서 확인하실 수 있습니다.