SIEM(Security Information and Event Management)

SIEM(Security Information and Event Management)

SIEM은 보안 정보와 이벤트 관리를 해주는 솔루션이다. 조직의 차세대 탐지, 분석 및 대응 방안을 제공한다. SIEM은 소프트웨어 보안 정보 관리(SIM)과 보안 이벤트 관리(SEM)을 결합한 것이다. 즉, 애플리케이션, 네트워크 장비 등에서 생성되는 여러 로그들을 통합하고 관리하고 분석할 수 있게 해주는 실시간 분석 솔루션이다.

SIEM의 장점

• 다수의 데이터 포인트 통합
• 맞춤형 대시보드와 경보 워크플로우 관리
• 다른 제품과의 통합

 

SIEM의 기능

과거에 비해 현재 수집되는 보안 로그의 양과 종류가 많아짐에 따라서 통합적으로 관리하고 시각화하고 분석할 수 있는 솔루션이 필요한데 이때 사용할 수 있는것이 SIEM이다. 여러 장비와 애플리케이션에서 생성된 로그들을 모두 SIEM으로 보내고 SIEM에서는 해당 로그들을 인덱싱하여 사용자가 빠르게 검색하고 분석할 수 있게 해준다. 여러 장비와 애플리케이션에서 수집된 로그들은 카테고리별로 분류한다. 예를 들어 멀웨어 활동인지, 로그인 실패, 성공인지 등의 카테고리로 분류한다. 이렇게 수집된 로그들을 바탕으로 SIEM에서 룰셋을 적용할 수 있다. 예를 들어 1분에 10회 로그인 시도를 한 사용자는 정상 범주에 넣을 수 있지만 1분에 100이상 로그인 시도를 한 사용자는 공격시도로 분류하는 등의 룰셋을 적용한다. 룰셋에 따라 위협으로 분류된 행위가 감지될 경우 알림을 주며 여러 장비들의 로그를 한 곳에 모아 통합적으로 관리, 분석할 수 있기 때문에 시간, 비용 측면에서 크게 절감할 수 있다. 또한 대시보드에서 로그에 대해 시각화하여 보여주기 때문에 더욱 효율적으로 모니터링을 할 수 있게 도와준다.

 

SIEM의 특징

• 기업에서 다루는 여러 보안관련 장비와 애플리케이션 즉, 최대한 다양한 로그들을 수집하고 분석할 수 있다.
• 네트워크 계층, 응용계층 까지 여러 로그들이 수집된다. 즉, 공격 행위에 대한 더욱 고도화된 분석을 할 수 있다.
• 보안위협 예측 및 이기종 간의 상관분석을 할 수 있다.
• 여러 로그들이 수집되기 때문에 다양한 툴과 시나리오를 적용하여 고도화된 룰셋을 적용할 수 있다. 여러 행위들을 고려하여 알려진 위협 뿐만 아니라 알려지지 않은 위협에 대해서도 룰셋을 작성할 수 있다.
• 기업에서 발생하는 모든 자원의 로그를 수집하고 저장하고 관리한다.
• 보존기간은 1년 이상이고, 수집하는 종류와 양도 많다.
• 실시간으로 분석하고 보여준다
• 보존 기간이 길고 다양한 종류의 로그파일이 수집되며 그 양역시 많기 때문에 대량의 데이터를 이용한 여러 위협에 대해 대책을 세우고 예방할 수 있다.
• ESM에 비해 오탐과 미탐이 적다.