이번에는 Amazon Security Lake 연계에 대해 발표할 수 있다는 것을 매우 기쁘게 생각합니다. 이번 통합 기능을 통해 Amazon Security Lake는 Amazon Web Services(AWS)의 새로운 보안 서비스를 통해 클라우드와 온프레미스 통합 데이터 소스와 프라이빗 애플리케이션에서 보안 로그를 집계, 저장, 정규화 및 분석할 수 있습니다. 강화됩니다. SentinelOne은 이러한 로그를 Singularity™ XDR 플랫폼에 통합하여 위협 사냥 및 포렌식 조사를 수행하며 Singularity Cloud Workload Security에서 보안 경고를 조사하고 근본 원인을 파악할 수 있습니다.
Amazon Security Lake는 Open Cybersecurity Schema Framework(OCSF)를 사용하여 로그를 저장하고 내보냅니다. OCSF 표준을 준수함으로써 Amazon Security Lake는 복잡성과 비용을 절감하고 보안 솔루션 데이터에 쉽게 액세스할 수 있도록 하여 위협 탐지, 조사, 인시던트 대응 등 다양한 사용 사례에 대응할 수 있습니다. 되었습니다.
이 시스템 통합의 일환으로 SentinelOne은 OCSF를 네이티브 XDR 데이터 스키마로 사용하기 때문에 고객은 데이터 변환에 어려움없이 Singularity XDR 플랫폼에서 이러한 보안 로그를 네이티브로 표시하거나 쿼리 할 수 있습니다. 이 통합은 Singularity XDR Platform을 파트너 데이터 소스로 확장하는 Skylight 베타 프로그램에 참여하는 고객이 사용할 수 있습니다.
OCSF란?
OCSF는 AWS가 보안 소프트웨어 공급업체와 협력하여 공동 설립한 오픈 소스 보안 데이터 스키마입니다. 개방형 표준을 사용하면 모든 종류의 소스에서 보안 데이터를 다양한 보안 플랫폼간에 공유하고 연결할 수 있어 보안에 대한 포괄적인 보기를 제공할 수 있습니다. 되어 보안 조치의 효과를 향상시킬 수 있습니다. 예를 들어, MTTR(위협에 대응하는 데 소요되는 시간)의 단축을 들 수 있습니다.
OCSF를 사용하는 로그 및 경고는 사용자가 구문 분석하고 정규화할 필요가 없도록 공통 필드 및 형식 집합을 사용합니다. 이렇게 하면 보안 분석가, 인시던트 응답자 및 위협 사냥꾼이 작업을 간소화하기 위해 더 많은 데이터 세트를 얻을 수 있습니다.
보안 데이터를 보다 쉽게 공유함으로써, 사일로화된 데이터를 한데 모으고 그 가치를 보다 효과적으로 활용할 수 있는 형태로 보안 플랫폼에 통합됩니다. 더 나은 데이터는 더 나은 결과를 제공합니다.
SentinelOne은 OCSF 데이터를 어떻게 사용합니까?
SentinelOne은 AWS에서 Singularity XDR 데이터 레이크로 OCSF 데이터를 캡처하여 클라우드 워크로드의 보안 경고를 조사하는 데 도움을 줍니다.
가시성이 향상됨에 따라 보안 분석가는 Amazon Elastic Cloud Compute(Amazon EC2) 인스턴스, Amazon Elastic Container Service(Amazon ECS), Amazon Elastic Kubernetes 서비스(Amazon EKS) 등에서 실행되는 AWS 내에서 워크로드와 관련된 보안 경고의 근본 원인을 더 쉽게 이해할 수 있습니다.
예를 들어, 크립토마이닝 경고가 연결된 EC2 인스턴스와 연결된 AWS CloudTrail 로그를 검색하여 인스턴스를 생성한 사용자를 식별하고 사용자가 침해되었는지 여부를 평가할 수 있습니다. 자세한 내용은 수동으로 시작했거나 보안 정책에 따라 자동으로 수행되었는지 여부에 관계없이 복구 작업을 알립니다. 고객은 원하는 소스를 선택하여 캡처할 OCSF 로그 유형을 제어할 수 있습니다.
Amazon Security Lake에서 Singularity XDR 데이터 레이크로 가져오는 데 사용할 수 있는 OCSF 로그는 다음과 같습니다.
- AWS CloudTrail 관리 이벤트
- Amazon Virtual Private Cloud(Amazon VPC) 흐름 로그
- Route 53 해석기 쿼리 로그
- Amazon Secure Storage Service(Amazon S3) 데이터 이벤트
- AWS Lambda 함수 실행 활동
- AWS Security Hub를 통한 8개의 AWS 서비스의 보안 조사 결과
데이터가 많아지면 더 많은 노이즈가 발생한다고 하는 것은 아닙니다. 사실 SentinelOne은 특허받은 Storyline™ 기술을 통해 노이즈를 억제하고 보안 신호의 정확성을 높이는 데 성공했습니다. Storyline은 클라우드 워크로드 내에서 동시에 실행되는 수천 개의 OS 수준 프로세스 스레드를 자동으로 모니터링하고 인시던트 시퀀스의 관련 이벤트를 시각화하고 상관 분석을 통해 일련의 공격으로 인식합니다. 같이 조립해 갑니다.
보안 데이터가 MITRE ATT&CK 프레임워크의 전술, 기술 및 절차(TTP)에 자동으로 매핑되므로 조직의 하이브리드 클라우드 시스템 전반에 걸친 공격자의 움직임을 지속적으로 모니터링할 수 있습니다. 하나의 인시던트가 수십 개의 TTP로 구성된 경우 스토리 라인은 모든 것을 하나의 경고로 결합합니다. 폭풍과 같이 대량 발행되는 경고나 그에 따른 세키리티팀의 경고 피로가 발생하지 않습니다. 자동으로 추출된 실시간 포렌식 조사 결과의 세부 사항만 SOC에 제공되므로 조사에 소요되는 시간을 크게 줄일 수 있습니다. 물론 SentinelOne 보안 콘솔에서 구성 가능한 보안 정책을 설정하여 사건을 추적하는 동안 자동으로 중지할 수 있습니다.
이 시스템 통합 기능을 사용하려면 SentinelOne 계정 팀에 문의하여 Skylight 베타 프로그램에 액세스할 수 있습니다. SentinelOne 측 대응이 완료되면 Singularity Marketplace에서 통합을 설정할 수 있습니다.
통합 기능은 SentinelOne 교차 계정 역할을 설정하고 Amazon Security Lake 로그가 저장된 계정에 액세스하기만 하면 설치할 수 있습니다. 그런 다음 SentinelOne은 이러한 로그를 Singularity XDR Platform으로 자동으로 가져오기 시작합니다. 통합 기능을 배포하기 위해 별도의 인프라를 구성할 필요가 없습니다. 캡처할 새 로그가 있는 경우 Amazon Security Lake는 SentinelOne에 지속적으로 알림을 제공합니다.
요약
보안 데이터 공유의 개방형 표준은 게임 체인저라고 할 수 있습니다. 고객은 체류 시간 단축, 가시성 및 컨텍스트 향상, 인시던트 대응 간소화(MTTR 단축), 위협 사냥 개선 등의 이점이 있습니다. 이러한 큰 이점 외에도 조기에 도입된 고객에게는 고유한 차별화된 사용 사례를 제공할 수 있습니다. SentinelOne은 향후 고객과 협력하여 보안 데이터 마이닝의 가치를 높일 수 있기를 기대합니다.
Singularity XDR Platform에 대한 자세한 내용과 클라우드 워크로드, ID 및 사용자 엔드포인트에 대한 보안 운영에 대해 SentinelOne이 어떤 업무 개혁을 가져올 수 있는지, 베타 프로그램에 대해 자세히 알고 싶다면, 문의하십시오.