‘엘라스틱 엔드포인트 시큐리티’와 ‘엘라스틱 SIEM’의 강점을 결합한 단일 인터페이스 기반 플랫폼으로 각종 보안위협 탐색을 자동화하는 새로운 통합보안관리(SIEM) 탐색엔진을 도입해 평균진단시간(MTTD)을 최소화한 점이 특징니자.
핵심기능 중 하나인 ‘엘라스틱 SIEM’은 엘라스틱서치를 기반으로 탐색 속도를 높여 소요시간을 크게 줄였다.
다른 툴이 놓치는 위협신호를 포착하기 위해 엘라스틱의 참조자료(ATT&CK)와 동기화한 1백여개의 기본규칙 세트를 제공한다. 위협활동을 가리키는 도구, 전술과 절차를 자동으로 탐색하면서 주기적으로 자동 업데이트된다.
엘라스틱 SIEM이 제공하는 규칙은 윈도, 맥OS, 리눅스 시스템에서 수집된 엘라스틱 커먼 스키마(ECS) 준수 데이터와 타 소스의 네트워크 정보 상에서 운영되기 때문에 보안팀이 자체 환경에 추가되는 새로운 ECS 준수 데이터 소스에 대한 규칙을 재작성할 필요가 없다는 게 사측 설명이다.
기본 탑재되는 새로운 탐색기능은 데이터를 활용해 키보드 입력을 포착하고, 악성코드를 다른 프로세서에 심으려는 악성행위를 자동감지하면서 실무자는 해당 규칙이 생성하는 이벤트와 자동화된 대응을 연결해 계층화된 보안정책을 수립할 수 있다.
이외에도 HTTP 데이터 관련 가시성을 제공하면서 SIEM 앱(App) 내에서 직접 엘라스틱 APM 데이터를 불러올 수 있으며 중앙화된 시각화와 분석을 위해 엘라스틱 스택으로 데이터를 수집하는 일을 쉽게 처리할 수 있다. 아마존웹서비스(AWS) 클라우드 트레일 데이터와 호환 가능하며 구글클라우드플랫폼과의 기술적인 통합요건도 단순화됐다.