ESM(Enterprise Security Management)
ESM은 여러 보안 솔루션들을 하나로 통합하여 관리하는 통합 보안 관리 시스템이다. 여기서 보안 솔루션으로는 방화벽, VPN, NAT, IDS, IPS 등 여러 솔루션들이 포함된다. 보안을 위한 장비와 솔루션들의 종류가 다양해지고 그에 따라 생성되는 보안 로그 또한 늘어나고 있다. 이때 이러한 보안 장비와 로그들을 통합적으로 관리가 필요하다. 이러한 장비들을 통합적으로 관리함에 따라 시간과 비용의 절감 효과를 기대할 수 있다.
기능적면에서 SIEM과 같다고 생각할 수 있지만 ESM은 실시간 처리가 중심이 아니다. 또한 SIEM에 비해 짧은 데이터 보관과 Agent, API 위주의 수집을 하며 수집하는 데이터 양 또한 SIEM에 비해 적다. 이렇게 ESM은 짧은 기간 이벤트 위주의 수집을 하고 수집되는 양도 적어서 SIEM에 비해서 오탐과 미탐의 수치가 높다. 또한 SEIM에 비해서 수집에 포함되는 종류도 적다. ESM은 네트워크 계층에서 수집되는 로그들을 위주로 수집하기 때문이다.
특징
- 기업의 다양한 보안 솔루션을 모니터링하는 시스템이다.
- 네트워크 계층 위주의 보안 로그를 수집하고 관리한다.
- 수집되는 데이터가 네트워크 계층으로 정형화된 데이터가 수집된다. 시그니처 기반의 탐지를 하며 단순한 패턴기반 탐지이다. 때문에 이미 알려진 공격에 대해 탐지를 할 수는 있지만 최신 공격에 대해서는 탐지가 어렵다.
- 수집된 데이터의 보존기간은 약 1개월~2개월 정도로 짧다.
- RDBMS 기반으로 상관분석이 이루어진다.
반응형
'Network, Security' 카테고리의 다른 글
APT(Advanced Persistence Threat)란? (0) | 2020.12.28 |
---|---|
DLP, DRM - 데이터 손실 방지, 디지털 권리 관리 (0) | 2020.12.28 |
SIEM(Security Information and Event Management) (0) | 2020.12.27 |
UTM(Unified Threat Management) - 통합 위협 관리 (0) | 2020.12.27 |
FTP [Passive / Active] (0) | 2020.12.26 |