네트워크 보안 엔지니어를 위한 엘라스틱 강좌 - 6강

6강에서는 Elastic에서 배포하는 플러그인 X-Pack 을 소개하려고합니다. 

X-Pack 이란?

 X-Pack 이란 Elastic에서 배포하는 공식 상용 플러그인입니다. X-Pack 은 Security, Alerting, Monitoring, Reporting, Graph, Machine Learning 모듈을 가지고 있습니다. 각 모듈의 기능은 아래에서 소개하도록 하겠습니다.

 X-Pack 은 Elasticsearch와 Kibana에 single pack 으로 설치하여 기존 Elastic Stack과 쉽게 통합할 수 있습니다. 

 X-Pack을 사용하기 위해선 서브스크립션을 신청할 필요가 있으며, 정책에 따라 더 많은 기능을 지원합니다. 라이센스는 basic, gold, platinum 이 있으며, 라이센스마다 사용 가능한 기능이 달라집니다.  X-Pack을 처음 설치하면 trial 라이센스로 기능제한없이 30일동안 무료로 사용가능합니다.

X-Pack 모듈 소개

X-Pack은 Security, Alerting, Monitoring, Reporting, Graph, Machine Learning 모듈을 가지고 있습니다. 각 모듈의 기능은 다음과 같습니다. 

Security 는 사용자/권한 기반의 인증 및 통신 암호화 기능을 제공합니다.

 

- Elasticsearch, Kibana, Logstash, Beats 로 유입되는 데이터를 허가된 사용자만이 접근할 수 있도록 보호합니다. 

- SSL/TLS 암호화를 통해 노드간, HTTP, Elastic Stack 클라이언트 간 통신 트래픽 전송을 보호합니다.

- Cluster, Index, Document, Field 별 권한 제어가 가능합니다.

Kibana > Management > Security 에서 Users와 Roles 을 설정할 수 있습니다.

Kibana > Management > Security > Roles 에서 원하는 권한을 넣은 Role을 만들 수 있습니다.

Kibana > Management > Security > Users 에서 계정관리 시 앞서만든 Role을 부여할 수 있습니다.

Alerting 는 쿼리 기반의 자동 알림 기능을 제공합니다.

- Elasticsearch 쿼리 언어를 활용하여 관심있는 데이터의 변경사항을 식별합니다.

- E-mail, Logging, Slack 으로 알람을 받을 수 있습니다.

Kibana > Management > Watcher 에서 Alerting 이벤트를 관리할 수 있습니다.

Kibana > Management > Watcher > 특정 Watch 를 선택하면 해당 alerting 의 상태와 history를 확인할 수 있습니다.

Monitoring 는 Elastic Stack 의 상태 모니터링 기능을 제공합니다.

- Elasticsearch, Kibana, Logstash의 성능을 지속적으로 확인할 수 있습니다.

- Elasticsearch의 Cluster, Node, Indices를 확인할 수 있는 대시보드와 Kibana, Logstash의 대시보드를 제공합니다.

Kibana > Monitoring  에서 Elastic Stack 현황을 한눈에 볼 수 있습니다.

Kibana > Monitoring > Elasticsearch > Overview 에서는 elasticsearch의 status, indexing 현황 등을 볼 수 있습니다.

Kibana > Monitoring > Elasticsearch > Node 에서는 Elasticsearch cluster에 등록된 node 목록과 현황을 볼 수 있습니다.

Kibana > Monitoring > Elasticsearch > Node > 특정node 에서는 선택한 node의 system resource 현황을 볼 수 있습니다.

Kibana > Monitoring > Elasticsearch > Indices 에서는 index 목록과 현황을 볼 수 있습니다.

Kibana > Monitoring > Elasticsearch > Indices > 특정Indices 에서는 선택한 index의 현황을 볼 수 있습니다.

Graph 는 관계도 분석 기능을 제공합니다.

- Elasticsearch에 저장된 데이터 간의 관계를 파악할 수 있는 API 및 UI 기반 도구 입니다.

아래는 fortigate 장비 로그의 source ip와 destination ip 의 관계입니다.

특정 term 들을 Group/Ungroup 할 수 있습니다.

term 과 term 을 잇는 선을 선택하면 term 들의 데이터 수를 확인할 수 있습니다.

drill down 버튼을 선택하면 Kibana > Discover 에서 raw 데이터를 확인 할 수 있습니다.

expand 버튼을 선택하면 데이터가 더 많이 조회 됩니다.

Reporting 은 Kibana 대시보드를 PDF로 내려받거나 데이터를 CSV 파일로 저장합니다.

- Kibana에서 만든 대시보드를 편리하게 PDF 또는 CSV 파일로 저장할 수 있습니다. 

Machine Learning 은 시계열 데이터 기반의 실시간 이상징후 탐지 기능을 제공합니다.

오늘은 X-Pack을 설명드렸습니다. 

X-Pack은 일부 기능에 라이선스 제한이 있긴 하지만 Elastic Stack을 통해 보다 다양한 접근을 할 수 있게 도와줍니다. 

직접 사용해보시길 추천드립니다.