에이전트·에이전트리스 병행, 스케일아웃 파이프라인으로 유입 급증에도 탄력 대응.
솔루션시큐리티 애널리틱스
감사·로그 (Security Analytics)
인프라·애플리케이션 전반의 감사(감사추적)와 로그 수집/분석을 통합합니다. 실시간 탐지, 규칙·플레이북 자동화, 보존·아카이브까지 한 번에. 요금은 별도문의로 안내합니다.
Sigma/YAML 규칙, 임계/이상 탐지, 알림·플레이북 연동.
사용자·역할·정책(IAM) 이벤트와 리소스 변경 이력 추적.
단기 핫 스토리지 + 장기 오브젝트 스토리지(압축/버저닝) 아카이브.
아키텍처(요약)
수집 계층 — Beats/Fluent/Vector, API Pull, Webhook(Ingest).
처리 계층 — 파싱/정규화(ECS/OCSF), 샘플링/마스킹, 큐(예: Kafka 호환).
저장 계층 — 핫(검색형) + 웜/콜드(오브젝트), 인덱스 수명주기 관리.
분석 계층 — 대시보드, 쿼리 DSL/SQL, 규칙/잡 스케줄러.
데이터 소스
| 소스 | 유형 | 설명 |
|---|---|---|
| 클라우드 감사 | Audit/API | 리소스 생성/변경, IAM 이벤트(예: 생성/권한 변경). |
| 운영체제 | Syslog/auditd/Sysmon | 로그인, 권한 상승, 프로세스/파일 이벤트. |
| 네트워크 | FW/IDS/VPC Flow | 허용/차단, 플로우 통계, 서브넷 경계 이벤트. |
| 애플리케이션 | App/Proxy | 접속/에러/지연, 프록시/WAF 로그. |
| 데이터베이스 | DB Audit | 스키마 변경, 민감 쿼리 접근, 실패 시도. |
| SaaS | M365/GWS/Slack 등 | 로그인/공유/설정 변경. |
스키마/표준화
정규화
원천 로그를 ECS 또는 OCSF와 유사한 필드로 맵핑하여 소스별 상이함을 최소화합니다. 예: source.ip, user.name, event.action, http.response.status_code.
민감정보 처리
토큰/해시/마스킹 정책을 적용하고, 원본은 접근 통제된 보관소에 암호화 저장합니다.
탐지/플레이북
규칙 — 임계치, 시퀀스(다단계), 이상탐지(통계/학습) 조합.
알림 — 이메일/웹훅/Slack, 심각도·서비스별 라우팅.
플레이북 — IP 차단, 계정 잠금, 티켓 발행 자동화.
샘플: Sigma 스타일 규칙
title: Suspicious Admin Login from New ASN id: 7f2a1e1c-aaaa-bbbb-cccc-1234567890ab description: New ASN & geo for admin within 24h status: experimental logsource: product: auth service: iam selection: event.action: "login_success" user.role: "admin" condition: selection and (new_asn==true or geo_change==true) level: high actions: - notify: slack#sec-ops - webhook: /playbooks/lock-user
샘플: 감사로그(JSON)
{"ts":"2025-08-31T10:44:21Z","event":{"action":"iam.update_policy","outcome":"success"},"user":{"name":"alice","role":"admin"},"source":{"ip":"198.51.100.23","asn":"AS64500"},"resource":{"type":"vpc","id":"vpc-1234"}}
검색/쿼리
필드 검색 + 시간 윈도우 집계(DSL/SQL 유사). 예시:
from logs
| where event.action == "login_failed" and source.ip in cidr("203.0.113.0/24")
| window 5m
| summarize count() by user.name
| where count_ > 10
보존 정책
| 티어 | 보존 | 저장소 | 설명 |
|---|---|---|---|
| 핫(검색) | 30일 | 인덱스형 | 고속 검색/대시보드. |
| 웜 | 180일 | 인덱스/객체 혼합 | 비용·성능 균형. |
| 아카이브 | 365일+ | 오브젝트 | 압축·버저닝·WORM(옵션). |
| * 기간/스토리지는 요건에 따라 조정됩니다. | |||
연동
알림 — 이메일, 웹훅, Slack/MS Teams, 티켓(예: Jira).
보안 — 보안그룹/ACL, 디도스보호(프록시) 연동.
스토리지 — 오브젝트 스토리지로 장기 보관/내보내기.
IAM — 사용자/역할/정책 이벤트와 상호 참조.
감사/Audit — 서비스별 감사를 단일 타임라인으로 집계.
API — 검색/대시보드/규칙 관리용 API 제공.
플랜/요금
| 플랜 | 주요 기능 | 지원 | 요금 |
|---|---|---|---|
| Standard | 중앙수집, 기본 대시보드, 규칙/알림 | 이메일/티켓 | 별도문의 |
| Advanced | 이상탐지, 플레이북, 장기 아카이브 | 평일 9-6 + 긴급 | 별도문의 |
| Enterprise | 전용 클러스터, 컴플라이언스 리포트, WORM | 24/7 전담 | 별도문의 |
| * 실제 제공 범위/성능/옵션은 상담 후 확정됩니다. | |||
감사·로그를 한눈에, 보안 대응은 더 빠르게
수집 소스/보존 기간/탐지 요건을 알려주시면 맞춤 구성을 제안드립니다.