이제 Elastic Security, Observability, Search가 AI 도구에서 대화형 UI를 제공해 드립니다.

AI 에이전트는 반환하는 결과의 품질에 따라 성능이 결정됩니다. 텍스트 전용 도구의 결과는 대시보드, 경고 목록, 조사 그래프, 분산 추적과 같이 본래 시각적이거나 상호작용적인 모든 것을 단순화합니다. 대화는 사용자가 질문하고 상담원이 답변하는 공간이 되지만, 업무가 복잡해지는 순간 사용자는 별도의 탭, 별도의 제품, 별도의 인증 경계를 넘어가게 됩니다.

MCP 앱이 그 답변의 형태를 변경합니다. 이제 도구는 텍스트 요약과 함께 대화형 UI를 반환할 수 있으며, 호스트(Claude Desktop, Claude.ai, VS Code Copilot, Cursor)는 대화에서 이를 인라인으로 렌더링합니다. 모델은 추론을 위해 간결한 텍스트를 유지합니다. 사용자는 채팅창 바로 옆에 클릭 가능한 실시간 인터페이스를 갖게 됩니다.

세 가지 속성 때문에 이는 "URL을 반환하는 웹훅"과는 다른 유형의 통합 방식입니다.

컨텍스트 보존. UI는 대화 안에 존재합니다. 탭 전환이나 핸드오프가 필요 없습니다.
양방향 데이터 흐름. UI는 MCP 서버에서 최신 데이터를 위한 도구를 호출할 수 있으며, 호스트는 에이전트에서 새로운 결과를 UI로 다시 푸시할 수 있습니다. 별도의 API 계층이나 인증 구조가 필요하지 않습니다.
샌드박스 신뢰 경계. MCP 앱은 호스트가 제어하는 iframe에서 실행됩니다. 상위 페이지에 액세스하거나 쿠키를 읽거나 컨테이너를 벗어날 수 없습니다.

Security 운영은 분류, 조사 그래프 및 Attack Discovery 기능을 기반으로 이루어지며, AI 에이전트는 수백 개의 경고를 몇 가지 공격 경로로 분류합니다. Observability는 분산 추적 및 시계열 드릴다운을 의미합니다. Kibana에서 빌딩이란 대시보드 그리드를 의미합니다. 텍스트로 평탄화하면 그것을 유용하게 만드는 요소를 잃게 됩니다. 저희는 이 세 가지 모두를 위한 MCP 앱을 개발하여 함께 오픈소스로 공개했습니다. 따라서 동일한 대화가 채팅을 벗어나지 않고도 분류 대기열에서 종속성 그래프, 실시간 대시보드로 이동할 수 있습니다.

참조 앱 세 개 각각은 여러 개의 개별 제품이 묶여 있는 것이 아니라, 여러 개의 대화형 뷰를 제공하는 하나의 MCP 서버입니다. 보안 앱만으로도 동일한 서버 셸, 동일한 도구 가시성 모델 및 동일한 호스트 브리지를 공유하는 여섯 개의 대시보드를 제공합니다. 패턴은 작지만, 표면적은 가치가 복합적으로 증가하는 곳입니다.

Elastic Security MCP 앱

SOC에 중요한 이유

에이전트가 SOC 분석가에게 "호스트-314에 47개의 경고가 있습니다. 요약은 다음과 같습니다."라고 말하는 것은 실제로 아무런 작업도 수행하지 않았다는 의미입니다. 작업이 시작되는 곳을 가리키고 있을 뿐입니다. 실제 업무는 경고 목록, 프로세스 트리, 조사 그래프 및 사건 파일에 담겨 있습니다. 한 단락의 텍스트만으로는 할 수 없습니다.

보안 MCP 앱은 워크플로우 자체를 반환합니다. 분석가가 에이전트에게 지시하면, 에이전트는 채팅에서 대화형 대시보드를 반환하여 분석가가 경보를 심층 분석하고, 위협 헌팅을 실행하며, 공격 체인을 상관 관계 분석하고, 사례를 열 수 있습니다. 이 모든 작업은 대화의 흐름을 잃지 않고 수행할 수 있습니다. 조사 결과, 쿼리 및 사례가 모두 Elasticsearch로 다시 전달되므로 동일한 조사가 Kibana에서 대기하고 있으며, 분석가는 대화 종료 후에도 이를 다시 시작할 수 있습니다.

6개의 대화형 대시보드

Elastic Security MCP 앱은 주요 SOC 워크플로우마다 하나씩, 총 6개의 대화형 요소를 제공합니다. 각 요소는 에이전트가 해당 도구를 호출할 때 인라인으로 렌더링되는 React UI입니다.

도구	역할	대화형 UI
경보 분류	보안 알림 가져오기, 필터링 및 분류	심각도 그룹화, AI 판정 카드, 프로세스 트리, 네트워크 이벤트
공격 탐지	AI 연관 공격 체인 분석 및 온디맨드 생성	공격 시나리오 카드(신뢰도 점수, 개체 위험, MITRE 매핑 포함)
사례 관리	조사 사례 생성, 검색 및 관리	알림, 관찰 가능 항목, 댓글 탭, AI 작업이 포함된 사례 목록
탐지 규칙	탐지 규칙 검색, 조정 및 관리	KQL 검색, 쿼리 유효성 검사, 노이즈 규칙 분석 기능을 갖춘 규칙 브라우저
위협 헌팅	엔티티 조사 기능이 있는 ES\|QL 워크벤치	쿼리 편집기, 클릭 가능한 엔터티 및 조사 그래프
샘플 데이터	일반적인 공격 시나리오에 대한 ECS 보안 이벤트 생성	사전 구축된 4개의 공격 체인이 포함된 시나리오 선택기

각 도구는 모델이 추론할 수 있는 간결한 텍스트 요약과 분석가가 작업할 수 있는 대화형 UI를 제공합니다. UI는 MCP 호스트 브리지를 통해 백그라운드에서 새 데이터를 가져올 수도 있습니다. 전체 도구 모델 및 브리지 API는 리포지토리의 아키텍처 문서에 포함되어 있습니다.

또한 이 앱은 에이전트에게 각 도구의 사용 시기와 방법을 알려주는 SKILL.md 파일인 Claude Desktop 스킬과 함께 제공됩니다. 미리 작성된 스킬 압축 파일을 최신 릴리스에서 다운로드하세요.

경보에서 사례로

핵심 SOC 프로세스를 구성하는 네 가지 기술이 있습니다. 각 모델은 프롬프트를 받아 도구를 호출하며, 모델이 추론하는 텍스트 요약과 함께 대화형 대시보드를 제공합니다. 분석가의 하루는 일반적으로 경보 대기열로 시작됩니다.

분류 알림. 에이전트에게 호스트, 규칙, 사용자 또는 시간대별로 분류하도록 요청하세요. 알림 분류 스킬은 원시 알림 목록 위에 AI 판정의 대시보드를 반환하며, 탐지 규칙당 하나의 판정이 해당 규칙의 활동을 양성, 의심 또는 악성으로 분류하고 각각 신뢰도 점수와 권장 조치를 함께 표시합니다. 경고를 클릭하면 프로세스 트리, 네트워크 이벤트, 관련 경고 및 MITRE ATT&CK 태그가 포함된 상세 보기를 확인할 수 있습니다. Kibana 내에서 AI 대화와 경고 대시보드 사이를 전환할 필요 없이 모든 작업이 대화 내에서 실시간으로 이루어집니다.

위협 헌팅. 에이전트에게 인덱스 전반에서 헌팅하도록 요청하세요. 위협 헌팅 스킬은 쿼리가 미리 입력되고 자동 실행되는 ES|QL 워크벤치를 반환하며, 결과의 모든 엔티티를 클릭하여 드릴다운할 수 있습니다. 모델은 표 아래에 비정상적인 사항, 연결된 사항, 자세히 살펴볼 가치가 있는 사항 등 짧은 판독값을 기록합니다. 그런 다음 위협 헌팅에 더 깊이 들어가거나 지금까지 수행한 작업을 보완하는 새로운 기술을 MCP 앱 내에서 시작하는 다음 피벗을 제공합니다. 이를 잘 보완하는 것은 Attack Discovery를 시작하여 심층 분석한 경보와 지금까지 수색한 위협에 대한 더 많은 컨텍스트를 수집하는 것입니다. 이와 연계하여 Attack Discovery를 실행하여 지금까지 추적한 경보와 위협에 대한 더 많은 컨텍스트를 수집하는 것도 좋은 방법입니다.

Attack Discovery 실행. Attack Discovery 스킬은 Attack Discovery API를 호출하여 발견된 정보의 순위 목록을 반환합니다. 각 발견 항목은 관련 경보를 하나의 공격 체인으로 통합한 것으로, MITRE 전술, 위험 점수, 신뢰도 레이블, 그리고 영향을 받은 호스트 및 사용자가 먼저 표시됩니다. 에이전트의 요약은 동일한 순위 순서로 결과 아래에 표시되며, 이제 대화에는 다음 단계를 위해 준비된 헌트 쿼리, 분류 결정, 상관 관계 체인 등 행동에 필요한 모든 것이 담겨 있습니다.

채팅을 떠나지 않고 사례 열기. 결과를 대량으로 승인하거나 에이전트에게 특정 경고에 대한 사례를 열도록 요청하세요. 사례 관리 스킬은 승인된 발견(소스 경고 첨부, 공격 체인에서 상속된 MITRE 전술)당 하나의 사례를 생성하고 실시간 사례 목록을 인라인으로 렌더링합니다. 사례 요약, 다음 단계 제안, IOC 추출, 타임라인 생성 등 AI 작업 버튼이 줄로 포함된 세부 정보 보기를 보려면 사례를 클릭하세요. 각각 구조화된 프롬프트를 채팅에 다시 표시하기 때문에 상담원이 다시 소개할 필요 없이 사례 컨텍스트를 파악할 수 있습니다. 에이전트의 요약은 사례 목록 아래에 있으며 방금 접수된 사례와 아직 필요한 이전 조사 결과를 포함하여 전체 IR 대기열을 다룹니다.

이 워크스루의 모든 단계는 프롬프트가 들어오고, 스킬이 이를 선택하고, 도구가 모델이 추론할 수 있는 간결한 텍스트 요약과 함께 분석가가 작업할 수 있는 대화형 UI를 반환하는 동일한 루프가 실행됩니다. 이러한 기술을 서로 연결하면 모든 단계에서 세션 컨텍스트를 전달하는 모델을 통해 엔드투엔드 SOC 흐름(헌팅, 분류, 상관관계, 케이스 열기, 다음 피벗 추진)으로 구성할 수 있습니다. 대시보드 중 하나를 단독으로 호출해도 데이터의 어떤 부분을 가리키든 전체 대시보드가 됩니다. 어느 쪽이든 탭 전환, 복사/붙여넣기, 핸드오프 없이 작업 내용이 대화 안에 축적됩니다.

노이즈가 많은 규칙을 조정하기 위한 탐지 규칙 브라우저와 새로운 클러스터에 대해 실제 ECS 이벤트를 실행하기 위한 샘플 데이터 생성기 등 두 가지 추가 스킬이 앱을 완성합니다. 후속 포스팅에서는 조사 그래프, 공격 흐름 캔버스, 엔드투엔드 워크스루 등 여섯 가지에 대해 자세히 다룰 예정입니다.

"Elastic Security용 MCP 앱은 자동화된 탐색과 수동 탐색 사이의 간극을 메워줍니다. 보안 데이터를 Claude Desktop의 단일 인터페이스로 직접 가져옴으로써 표준 경고를 트리거하지는 않지만 즉각적인 조치가 필요한 '조용한' 위협을 1시간 이내에 파악할 수 있었습니다. 이는 우리 분석가들의 역량을 배가시킵니다." Mandy Andress, Elastic 최고 정보 보안 책임자(CISO).

참여 방법

각 MCP 앱은 모델에 대한 간결한 텍스트 요약과 호스트가 인라인으로 렌더링하는 React UI를 모두 반환하는 도구가 있는 작은 Node.js 서버입니다. 개방형 MCP 앱 사양을 기반으로 구축되었기 때문에 호환되는 모든 호스트에서 동일한 서버가 실행됩니다. 전체 설계는 리포지토리의 아키텍처 문서를 참조하세요.

직접 사용해 보기

Elasticsearch 9.x 및 활성화된 Security가 필요하며, 사례, 규칙 및 Attack Discovery를 위해 Kibana가 필요합니다. 가장 빠른 경로는 최신 릴리즈의 원클릭 .mcpb 번들입니다. Claude Desktop에서 이 번들을 두 번 클릭하면 Elasticsearch URL과 API 키를 입력하라는 메시지가 표시됩니다. Cursor, VS Code, Claude Code, Claude.ai 및 소스에서 빌드하기 위한 설정 가이드는 리포지토리에 있습니다.

Elastic Search MCP 앱: 대화로 구축된 대시보드

모든 Kibana 사용자는 대시보드 우회 방법을 알고 있습니다. 작업 중인 작업을 종료하고, Kibana를 열고, 인덱스를 선택하고, 필드를 선택하고, 시각화를 선택하고, 조정하고, 저장하는 것입니다. 하나의 차트가 화면에 표시되기까지 5번의 컨텍스트 전환을 거칩니다.

새로운 example-mcp-dashbuilder 참조 앱은 이를 프롬프트로 축소됩니다. 에이전트에게 "수익 메트릭, 주문 추세 및 카테고리 분류가 포함된 대시보드를 만들어 줘"라고 요청하면 탭을 전환할 필요 없이 대화 내에서 대시보드가 제공됩니다.

이 프롬프트 뒤에서 에이전트는 ES|QL을 통해 Elasticsearch 데이터를 탐색하고 데이터에 맞는 차트 유형(비교용 막대, 추세용 선, KPI용 메트릭 카드, 2차원 패턴용 히트맵)을 선택합니다. Elastic UI Borealis 테마를 사용해 Kibana의 48열 그리드에 패널을 배치하며, 채팅에서 바로 패널을 끌어서 크기를 조정하고 접을 수 있는 섹션으로 그룹화할 수 있는 완전한 대화형 결과물을 제공합니다. 대시보드가 올바르게 보이면, 한 번의 도구 호출로 ES|QL 쿼리와 사용자 정의 색상을 유지하면서 Kibana로 내보냅니다. AI 지원 편집을 위해 기존 Kibana 대시보드를 채팅으로 다시 가져올 수 있습니다.

이 원칙은 Security 앱의 원리와 동일합니다. 결과물이 제품일 경우, 대화 내에서 해당 결과물을 반환함으로써 원하는 것을 설명하는 것과 그것을 보는 것 사이의 연결 고리가 완성됩니다.

내부적으로는 동일한 MCP 앱 패턴을 따릅니다. Node.js 서버는 view_dashboard 모델 관련 도구와 UI가 직접 호출하는 앱 전용 도구 세트(데이터 가져오기, 레이아웃 지속, 시간 필드 탐지, 내보내기/가져오기)를 등록합니다. 대시보드 보기 자체는 vite-plugin-singlefile 에 번들로 제공되는 하나의 독립된 HTML 파일로, MCP 앱 리소스로 제공됩니다. 리포지토리를 포크하는 빌더는 Security 앱에 표시되는 것과 동일한 서버 셸과 호스트 브리지가 다른 작업을 가리키게 됩니다. example-mcp-dashbuilder README에는 전체 아키텍처 및 차트 유형 참조가 있습니다.

Elastic Observability MCP 앱

세 번째 참조 앱인 Elastic Observability MCP 앱은 동일한 형태 문제의 SRE 버전을 다루고 있습니다. 프로덕션에서 문제가 발생할 때 당직 엔지니어가 필요로 하는 답은 차트가 아니라 K8s 메트릭, APM 토폴로지, ML 이상 징후, 그리고 위험 평가로 구성된 진단입니다. 답변의 형태는 무엇이 실패했는지, 왜 실패했는지, 그에 따라 무엇이 달라지는지, 다음에 무엇을 해야 하는지 등 인과 관계에 대한 이야기입니다.

통합 가시성 조사 워크플로우를 지원하는 6가지 도구

도구	종속성	역할
통합 가시성	범용	일시적인 ES\|QL + ML 이상 징후 액세스 기본 요소 - 쿼리를 한 번 실행하거나, 메트릭을 라이브 샘플링하거나, 임계값이나 이상 징후가 발생할 때까지 차단합니다.
경보 관리	범용	Kibana 사용자 지정 임계값 경보 규칙을 생성, 나열, 조회 및 삭제합니다. Kibana URL을 생략하여 읽기 전용으로 실행합니다.
ml-anomalies	ML 작업	ML 이상 징후 기록을 쿼리하고 인라인 이상 징후 설명자 보기를 엽니다.
apm-health-summary	Elastic APM	APM 원격 분석을 통한 클러스터 수준 상태 롤업, 사용 가능한 경우 K8 및 ML 컨텍스트의 레이어.
apm-service-dependencies	Elastic APM	서비스 종속성 그래프 - 업스트림/다운스트림, 프로토콜, 호출량.
k8s-blast-radius	Kubernetes 메트릭	Node 중단 영향 — 전체 중단, 성능 저하, 영향 없음, 일정 조정 가능성.

클러스터 상태 롤업

"뭐가 고장났어?" 또는 "상태 보고서를 줘"라고 요청하면 한 번에 모든 정보를 확인할 수 있습니다. 전반적인 상태 배지, 문제가 있는 서비스와 그 이유, 최상위 포드 메모리 소비자, 이상 심각도 분석, 서비스 처리량 등 모두 하나의 인라인 뷰에서 확인할 수 있습니다. 뭔가 이상하다고 느껴지지만 어디부터 살펴봐야 할지 모를 때 시작점이 바로 여기입니다. 보기는 배포에서 지원하는 항목에 따라 조정됩니다. APM은 서비스 상태를 제공합니다. Kubernetes 메트릭에 Pod 및 Node 컨텍스트가 추가됩니다. ML 작업은 이상 징후를 탐지합니다.

서비스 종속성 그래프

"무엇이 체크아웃을 호출해?" 또는 "토폴로지를 보여줘"라고 물어보면, 업스트림 호출자, 다운스트림 종속성, 프로토콜, 호출량, 에지별 지연 시간 등이 포함된 계층형 종속성 그래프를 확인할 수 있습니다. Claude에게 "프론트엔드의 서비스 의존성을 보여 줘"라고 요청해 봅시다.

확대/축소, 이동, 마우스오버를 통해 복잡한 서비스 관계를 이해하는 데 필요한 모든 세부 정보를 확인할 수 있습니다.

영향 범위로 위험 평가

"내 K8s 노드가 다운되면 어떻게 될까?"라고 물어보면 방사형 영향도 다이어그램이 표시됩니다. 중앙에는 대상 노드가 위치하고, 완전 중단되는 배포는 빨간색, 성능 저하되는 배포는 주황색, 영향을 받지 않는 배포는 회색으로 표시됩니다. 플로팅 요약 카드는 위험에 처한 파드와 일정 변경 가능성을 보여줍니다. 단일 복제본 배포는 단일 장애 지점으로 플래그가 지정됩니다.

Observe

Elastic에 대한 에이전트의 기본 액세스 기본 요소 - 하나의 도구로 세 가지 다른 요구 사항에 맞는 세 가지 모드. "지금 CPU가 무엇을 하고 있어?" 라고 하면 ES|QL 쿼리를 한 번 실행하고 테이블을 반환합니다. "다음 60초 동안 프론트엔드 지연 시간을 보여줘"라고 말하면 메트릭을 실시간으로 샘플링하며 차트를 실시간으로 업데이트합니다. "메모리가 80MB 이하로 떨어지면 알려줘" 또는 "다음 10분 동안 이상한 일이 없는지 지켜봐"라고 말하면 조건이 실행되거나 기간이 만료될 때까지 차단됩니다. 보기는 원샷 쿼리를 위한 결과 테이블, 샘플링 및 임계값 조건에 대한 현재/최고/기준선 통계가 포함된 실시간 트렌드 차트, 이상 징후 모드를 위한 심각도 점수 트리거 카드 등 모드에 맞게 조정됩니다.

참여 방법

동일한 MCP 앱 패턴은 Security 및 Search 앱과 같습니다. Node.js 서버, 6개의 모델 대면 도구가 6개의 단일 파일 보기 리소스에 연결됩니다. 도구는 배포 백엔드(범용, APM 종속, K8s 종속, ML 종속)별로 그룹화되므로 에이전트와 사용자 모두 통화 중에 기능 격차를 발견하는 대신 특정 배포에 적용되는 도구를 사전에 알 수 있습니다. MCP 앱에는 Agent Builder 워크플로우 예시도 포함되어 있는데, k8s-crashloop-investigation-otel Kubernetes 알림에서 트리거되어 대시보드를 열기 전에 구조화된 근본 원인 요약을 반환할 수 있습니다.

에이전틱 스택, 인터랙티브

이 패턴에 대한 세 가지 속성을 직접 언급할 가치가 있습니다. 첫째, 도구 결과는 더 이상 작업의 끝이 아니라 시작입니다. 대화는 행동해야 하는 요약이 아니라 행동할 수 있는 인터페이스를 반환합니다. 둘째, 이제 동일한 에이전트, 동일한 모델 컨텍스트, 동일한 대화 스레드가 대화에서 벗어나지 않고 Security, Search, Observability 표면을 이동할 수 있습니다. 셋째, 이것이 작동하는 이유는 Elasticsearch와 Kibana가 이미 API를 노출하고 있기 때문입니다. MCP 앱은 기존에 출시된 제품 기능 위에 얇은 대화형 레이어를 덧씌운 것입니다.

Attack Discovery는 이미 이 앱 안의 상관관계 조사 결과 보기를 지원합니다. 스택 내부에서 동일한 에이전틱 패턴이 더 나아갑니다. Elastic Workflows는 결정론적 단계(엔티티 강화, 사례 생성, 호스트 격리)를 자동화하고, Agent Builder는 데이터를 추론하여 이러한 워크플로우를 도구로 호출합니다. MCP 앱은 동일한 보안 영역을 외부 대화에 제공하고, 워크플로우 및 에이전트 빌더는 스택 내부에서 보안을 더욱 강화합니다. 다른 진입점, 그 아래에는 동일한 Elastic API가 있습니다.

사용해 보기:

Security: example-mcp-app-security
Search 및 대시보드: example-mcp-dashbuilder
Observability: example-mcp-Observability

아직 Elasticsearch 클러스터가 없으신가요? 무료 Elastic Cloud 무료 체험판을 시작해 보세요. 보안 앱의 기본 구성 요소에 대한 자세한 내용은 Elastic Workflows와 에이전트 빌더, 에이전트 스킬, 공Attack Discovery에 대한 관련 Security Labs 포스팅을 참조하세요.