[Tech blog] AWS Security Lake_OCSF v1.1 소개
Introduction to Amazon Security Lake
2023년 처음 소개된 Amazon Security Lake에 대해 들어보셨나요?
서비스 이름에서 유추하실 수 있듯, Security Lake는 보안 로그들이 적재된 Data Lake를 손쉽게 구축할 수 있도록 지원해주는 서비스입니다. 많은 고객사께서 이미 Cloud Natvie Log들을 저장하고 있어, 어떤 차이가 있는지 궁금해 하실 수 있을텐데요,
이 서비스는 독립된 스트림으로 로그를 저장 할 수 있으며, Organization 관점에서 하위 Account들과 여러개의 Region에서 로그 수집을 한번에 할 수 있어 어떤 계정의 어떤 리전의 로그가 미설정되어 있는지에 대한 현황 파악을 중앙에서 할 수 있고, 새로운 Account가 대상이 되더라도 1분 이내로 설정이 가능하다는 것이 큰 장점입니다.
또한, Security Lake를 활용하면 AWS Native Log 뿐만 아니라 다양한 3rd Party 보안 로그를 쉽게 구독하고 S3에 로그를 적재할 수 있습니다. 이러한 로그는 효율적인 데이터 압축 및 저장 기능으로 잘 알려진 Parquet 파일 형식을 사용하여 OCSF(Open Cybersecurity Schema Framework) 스키마에 맞게 수집 및 저장하기 때문에 다양한 서비스 및 솔루션의 로그 데이터 처리를 위한 리소스 및 시간도 줄일 수 있을 것입니다.
Subscriber Tool은 Amazon Athena, Amazon Redshift, Amazon QuickSight 등의 다양한 AWS 서비스를 활용하여 구성할 수 있으며, 또는 Imply, Splunk 등 3rd Party Subscriber Tool을 활용할 수 있습니다. 기업 고유한 환경에 맞는 Subscriber Tool을 활용한다면 조금 더 쉽고 효율적인 로그 데이터 분석 및 시각화 뿐만 아니라, 기업이 원하는 보안 요구 사항에 맞게 확장 가능하고 유연하게 구성하여 구성할 수 있습니다.
What is OCSF?
앞서 OCSF에 대해 언급했었는데, OCSF는 ‘Open Cybersecurity Schema Framework’의 약자로 Splunk, AWS, IBM 등의 보안 및 많은 기술 회사가 진행한 오픈 소스 프로젝트로, 보안 데이터 사일로를 제거하고 보안 도구 전반에 걸쳐 데이터 형식을 표준화하여 보안 위협에 대한 탐지 및 분석을 위해 개발된 프레임워크입니다.
많은 기업에서는 다양한 보안 솔루션 및 서비스를 이용하고 있을텐데요, 서로 다른 보안 솔루션은 서로 다른 데이터 형식을 사용하기 때문에 보안 및 탐지 시 사이버 공격을 식별하고 대응하는 데 필요한 분석 및 조사를 수행하기 전에 데이터를 정규화하는 데 시간과 리소스를 소비하게 될 것입니다. 하지만, 해당 프레임워크를 사용한다면 보안 관련 데이터 및 로그를 동일한 구조와 포맷으로 관리 및 공유함으로써, 보안 팀에서 데이터 정규화에 소비하는 많은 시간과 에너지 대신에 데이터 분석, 위협 식별, 사이버 방어 자체에 주력하고 프로세스를 간소화 시킬 수 있도록 합니다. 또한, OCSF는 사이버 보안 분야의 다양한 이벤트 타입과 케이스에 적용될 수 있게 개발되었으며, 지속적인 업데이트와 개선이 진행되기에 더욱 더 많은 곳에서 OCSF 포맷을 사용할 수 있을 것입니다.
OCSF v.1.1.0
지난해 v1.0.0이 System Activity, Findings, Identity&Access Management, Network Activity, Discovery, Application Activity 6가지의 Category로 분류되어 최초 공개되었습니다.
OCSF 는 기본적으로 ① Data Types/Attributes and Arrays, ② Event Class, ③ Category, ④ Profile, ⑤ Extension으로 분류되어 있습니다. (세부 설명은 OCSF github 참고)
① Data Types, Attributes and Arrays
- Data Type의 유형은 문자열, 정수, 부동 소수점 숫자 및 불리언 등과 같은 데이터 유형
- attribute는 스칼라 또는 복합 데이터 유형(object라 정의 됨) 중 특정 유효한 데이터 타입에에 대한 고유한 식별자 이름
② Event Class
- 이벤트의 의미를 자세히 설명하는 속성 집합을 구성
③ Category
- Event Class를 Category 별로 그룹화
- System Activity, Findings, Identity&Access Management, Network Activity, Discovery, Application Activity
④ Profile
- Event Class와 Object의 추가적인 관련 특성
⑤ Extension
- 코어 스키마의 수정 없이 프레임워크를 사용하여 스키마를 확장 가능
- Linux, Windows, macOS
최초 공개 이후 올해1월 v1.1.0 으로 업데이트가 진행되었으며, 주요 업데이트 내용으로는 새로운 이벤트 클래스(Event Classes), 프로파일(Profiles), 오브젝트(Objects)가 추가 및 변경되었습니다.
세부 내용은 아래에서 살펴볼까요?
| 유형 | 세부 내용 |
| Event Classes | ‘User Inventory Info’ 추가 |
| ‘Vulnerability Finding’ 추가 | |
| ‘NTP Activity’ 추가 | |
| ‘OS Patch State’ 추가 | |
| ‘Datastore Activity’ 추가 | |
| ‘Detection Finding’ 추가 | |
| ‘Incident Finding’ 추가 | |
| ‘Device Config State Change’ 추가 | |
| ‘Scan Activity’ 추가 | |
| ‘File Hosting Activity’ 추가 | |
| Profiles | 네트워크 활동 및 애플리케이션 활동 클래스를 위한 ‘Network Proxy’ Profile 추가 |
| 네트워크 활동 클래스를 위한 ‘Load Balancer’ Profile 추가 | |
| Objects | ‘cve’ 및 ‘vulnerability’ objects에 새로운 ‘cwe’ object 추가 |
| Firewall Rule object 추가 | |
| 지식 베이스 아티클 정보를 위한 새로운 ‘kb_article’ object 추가 | |
| ‘cve’ object에 새로운 ‘epass’ object 추가 |
| System Activity [1] | Findings [2] | Identity & Access Management [3] |
|
|
|
| Network Activity [4] | Discovery [5] | Application Activity [6] |
|
|
|
OCSF v1.1.0 에서 추가된 Class Type
또한 Network Activity 카테고리에서는 NTP Activity 클래스와 Discovory 카테고리에서는 User Inventory Info, Operating System Patch State, Device Config State Change, Registry Key/Value Info, Prefetch Info 클래스가 새롭게 추가되었습니다. Application Activity 카테고리에서는 Datastore Acitivity, File Hosting Activity, Scan Activity의 클래스가 새롭게 추가되며 다양한 보안 로그 및 이벤트 등을 각 유형에 적합하고 보다 구체적인 이벤트 클래스에 매핑하여 데이터를 간결하게 표현하고 사용성을 개선할 수 있도록 업데이트가 되었습니다.
| 유형 | 세부 내용 |
| Categories | 새로운 도메인별 Event Class(Vulnerability Finding, Compliance Finding, Detection Finding, Incident Finding)가 포함된 개선된 범주와 설명이 업데이트 |
|
Event |
Account Change’ Event Class에 ‘activity_id’에 ‘MFA Enable’과 ‘Disable’ 추가 |
| Authentication’ Event Class의 ‘activity_id’에 ‘Service Ticket Renew’ 추가 | |
| ‘Network Activity’ Event Class에 ‘url’ attribute 추가 | |
| ‘Web Resources Activity’ Event Class에 ‘http_request’,’http_response’,’tls’ attribute, ‘network proxy’ profile 추가 | |
| ‘DNS Activity’ Event Class에서 ‘dst_endpoint’ 요구 사항을 ‘required’에서 ‘recommended’로 변경 | |
| ‘Group Management’ Event Class에서 ‘activity_id’에 ‘Create’ 및 ‘Delete’ 추가 | |
|
Profiles |
액세스 컨트롤 시맨틱스, 방화벽 속성을 포함하도록 ‘security_control’ profile 개선 |
| Objects | ‘product’ 및 ‘web_resource’ object에 ‘url_string’ attribute 추가 |
| ‘endpoint’ object에 ‘type’ 및 ‘type_id’ attribute 추가 | |
| ‘cve’ object에 ‘cwe’, ‘desc’, ‘references’ 및 ‘title’ 추가 | |
| ‘affected_package’ object와 ‘affected_packages’ attribute를 ‘vulnerability’ object에 추가 | |
| ‘package’ object에 ‘purl’ 추가 | |
| ‘product’ 및 OS object에 ‘cpe_name’ attribute 추가 | |
| ‘response’ 및 ‘request’ object에 ‘container’와 ‘data’ 추가 | |
| ‘api’ object에 ‘group’ 추가 | |
| ‘resource_details’ object에 ‘namespace’ 추가 | |
| ‘metadata’ object에 ‘log_level’ 추가 | |
| ‘http_request object’에 ‘length’ 추가 | |
| ‘vulnerability’ object에 ‘is_exploit_available’ 추가 | |
| ‘group’ object에 ‘domain’ attribute 추가 | |
| ‘dns_query’, ‘dns_answer’ object에 attribute 요구사항 변경 | |
| 엔드포인트 ‘type_id’ 열거형에 방화벽, 라우터, 스위치, 허브가 추가 | |
| ‘session’ object에 ‘is vpn’ 추가 | |
| ‘network_connection_info’ object에 ‘state’ 추가 |
위의 변동 사항 외에도 대체 혹은 사용하지 않는 여러 attribute 및 object의 변동이 있었으며, SentinelOne Extension이 추가되거나 데이터 타입 등에 대한 유효성을 위해 수정하는 등 다양하게 v1.1.0에서 업데이트 되었습니다.
v1.1.0 에 어서 가장 최신 버전인 v1.2.0이 4월에 따끈하게 업데이트가 되었습니다. v1.2.0은 아직까지 Security Lake에서 소스 버전을 지원하고 있지 않지만(24년 4월 기준), 곧 만나보실 수 있을 것 같습니다.
간략하게 업데이트 된 v1.2.0 내용을 아래에서 살펴볼까요?
| 유형 | 세부 내용 |
| Event Classes | ‘Data Security Finding’ event class 추가 |
| ‘File Query’ event class 추가 | |
| ‘Folder Query’ event class 추가 | |
| ‘Group Query’ event class 추가 | |
| ‘Job Query’ event class 추가 | |
| ‘Kernel Object Query’ event class 추가 | |
| ‘Module Query’ event class 추가 | |
| ‘Network Connection Query’ event class 추가 | |
| ‘Networks Query’ event class 추가 | |
| ‘Peripheral Device Query’ event class 추가 | |
| ‘Prefetch Query’ event class 추가 | |
| ‘Process Query’ event class 추가 | |
| ‘Registry Key Query’ event class 추가 | |
| ‘Registry Value Query’ event class 추가 | |
| ‘Service Query’ event class 추가 | |
| ‘Session Query’ event class 추가 | |
| ‘User Query’ event class 추가 | |
| ‘Tunnel Activity’ event class 추가 | |
| Profiles | ‘data_classification’ profile 추가 |
| Objects | ‘auth_factor’ object 추가 |
| ‘data_security’ object 추가 | |
| ‘autonomous_system’ object 추가 | |
| ‘agent’ object 추가 | |
| ‘data_classification’ object 추가 | |
| ‘port_t’, ‘subnet_t’, ‘cmd_line’, ‘country pid’, ‘cwe.uid’, ‘cve.uid’, ‘user_agent’ enum 추가 |
이처럼 지속적으로 OCSF에 대한 세부적인 연구와 업데이트를 진행하고 있으며, 이후에도 많은 곳에서 OCSF를 많이 사용할 것이며 사이버 보안 표준으로도 공식화될 것이라고 기대합니다.
앞서 이야기한 것과 같이 OCSF로 정규화하고 중앙화할 수 있는 서비스인 Amazon Security Lake와 함께 한다면, AWS Native Service 뿐만 아니라 3rd Party Solution의 보안 로그 및 이벤트도 효율적으로 통합하고 분석할 수 있습니다. 이를 통해 보안 데이터 관리를 일관되게 수행하고 데이터 준비 과정에서 필요한 시간과 노력을 크게 절감할 수 있습니다.
하지만 항상 처음 다루어보는 서비스에는 상당한 러닝커브 또는 경험이 요구 될 수 있는데요, 그러나 메가존클라우드에서는 Amazon Security Lake를 이용하는 다양한 오퍼링을 진행하고 있습니다.
작년 말, 메가존 클라우드가 한국 최초 Security Lake SDP(Service Delivery Partner)로 선정되었습니다!👍🏻
AWS는 파트너사의 특정 서비스에 대한 경험과 전문성을 심사 및 검증해 SDP로 선정합니다.
메가존클라우드는 AWS Premier Consulting Partner로 2,000+개 고객의 클라우드 도입, 최적화 등에 이르는 클라우드 여정을 지원해왔고, 이제 더 나아가 AWS Security Lake SDP로서 고객사의 Security Lake 도입을 위한 아래 컨설팅 및 구축 서비스를 제공합니다.
- 컨설팅: 고객의 보안 목표에 맞게 어세스먼트, 아키텍처 설계 진행
- 구축: 고객의 보안 목표에 맞게 어세스먼트, 아키텍처 설계 진행 이후 실제 구축 및 검증 진행
업계에는 수많은 보안 카테고리가 존재하고, 타사 MSP의 경우에는 보안 위협대응 및 컴플라이언스의 검토 및 평가를 위한 솔루션(CSPM, CWPP, CNAPP, SOAR 등)을 제공하고 있습니다. 메가존클라우드 역시 3rd Party CSPM, CWPP, CNAPP 라인업을 적극적으로 드라이브하고 있을 뿐 아니라, 이와 더불어 Security Lake 구축 및 컨설팅을 통해 고객의 보안 수준을 스스로 높일 수 있는 경험을 제공하게 된 것이죠. 메가존클라우드의 보안 컨설팅 및 구축 서비스의 차별점은, 고객께서 보안 목표를 정의 하시고 목표를 달성하기 위해 수 많은 서비스와 보안 솔루션에서 발생되는 데이터를 조립하여 하나의 결과물로 이용하실 수 있는 도구와 경험을 제공드리는 점이라고 생각이 되네요.
지금까지 Security Lake에 간략하게 알아봤는데, 더 궁금하시거나 간단한 데모를 보고 싶으신가요?
더 나아가 Security Lake 도입을 위한 컨설팅과 구축 서비스가 필요하신가요? 아래 메일로 연락 기다리고 있겠습니다~!
*문의: megazonecloud-asl@mz.co.kr
Written by 메가존클라우드 Cloud Technology Center
- Security SA 유승현 Team Leader
- Data Engineer 우대식 Manager
- AWS Ambassador, SA 백소정 Manager
- Security SA 이예은 Manager
![[글로벌 이야기] 디지털 트윈(Digital Twin)의 글로벌 시장 전망 및 활용 사례](https://img.iting.co.kr/wp-content/uploads/2025/01/USA_thumbnail_GettyImagesEdge_Editor_Cut_1454217037.png)
![[일본 이야기] 일본만의 디지털 트윈(Digital Twin) 기술 활용 사례 2탄](https://img.iting.co.kr/wp-content/uploads/2025/01/thumbnail_japan_GettyImagesEdge_Editor_Cut_1328151260.png)
