SIEM (보안 정보 및 이벤트 관리)

9월 16, 2020
No Comments

SIEM (보안 정보 및 이벤트 관리)은 SIM (보안 정보 관리) 및 SEM (보안 이벤트 관리) 기능을 하나로 결합한 보안 관리 접근 방식입니다. 보안 관리 시스템. SIEM의 약어는 “sim”으로 발음되며 조용히 e입니다.

모든 SIEM 시스템의 기본 원칙은 여러 소스에서 관련 데이터를 집계하고 표준 편차를 식별하며 적절한 조치를 취하는 것입니다. 예를 들어, 잠재적 인 문제가 감지되면 SIEM 시스템은 추가 정보를 기록하고 경고를 생성하며 다른 보안 제어에 활동의 진행을 중지하도록 지시 할 수 있습니다.

가장 기본적인 수준에서 SIEM 시스템은 SIEM 시스템입니다. 규칙 기반이거나 통계적 상관 엔진을 사용하여 이벤트 로그 항목 간의 관계를 설정할 수 있습니다. 고급 SIEM 시스템은 사용자 및 엔티티 행동 분석 (UEBA)과 보안 오케스트레이션, 자동화 및 응답 (SOAR)을 포함하도록 발전했습니다.

PCI DSS (Payment Card Industry Data Security Standard) 준수는 원래 대기업에서 SIEM 채택을 주도했지만 APT (Advanced Persistent Threat)에 대한 우려로 인해 소규모 조직은 SIEM MSSP (Managed Security Service Provider)가 제공 할 수있는 이점을 살펴 보았습니다. 단일 관점에서 모든 보안 관련 데이터를 볼 수 있기 때문에 규모에 관계없이 모든 조직이 비정상적인 패턴을 쉽게 찾을 수 있습니다.

SIEM 시스템은 다중 배포를 통해 작동합니다. 방화벽, 안티 바이러스 또는 침입 방지 시스템 (IPS)과 같은 특수 보안 장비는 물론 최종 사용자 장치, 서버 및 네트워크 장비에서 보안 관련 이벤트를 수집하기 위해 계층 적 방식으로 에이전트를 수집합니다. 수집기는 중앙 집중식 관리 콘솔로 이벤트를 전달합니다. 여기서 보안 분석가는 소음을 선별하고 점을 연결하고 보안 사고의 우선 순위를 정합니다.

일부 시스템에서는 에지 수집기에서 사전 처리가 발생할 수 있습니다. , 특정 이벤트 만 중앙 관리 노드로 전달됩니다. 이러한 방식으로 전달되고 저장되는 정보의 양을 줄일 수 있습니다. 기계 학습의 발전으로 시스템이 이상 징후를보다 정확하게 표시하는 데 도움이되지만 분석가는 여전히 피드백을 제공하여 시스템에 환경에 대해 지속적으로 교육해야합니다.

다음은 SIEM 제품을 평가할 때 검토해야 할 가장 중요한 기능 중 일부입니다.

  • 다른 컨트롤과 통합. 시스템은 진행중인 공격을 방지하거나 중지하기 위해 다른 엔터프라이즈 보안 제어에 명령을 내릴 수 있습니까?
  • 인공 지능 (AI). 시스템이 머신 러닝과 딥 러닝을 통해 자체 정확도를 향상시킬 수 있습니까?
  • 위협 인텔리전스 피드. 시스템이 조직이 선택한 위협 인텔리전스 피드를 지원할 수 있습니까? 아니면 특정 피드를 사용해야합니까?
  • 광범위한 컴플라이언스보고. 시스템에는 일반적인 컴플라이언스 요구 사항에 대한 기본 제공 보고서가 포함되어 있으며 새로운 규정 준수 보고서를 사용자 정의하거나 작성할 수있는 조직입니까?
  • 포렌식 기능. 시스템이 관심있는 패킷의 헤더와 내용을 기록하여 보안 이벤트에 대한 추가 정보를 캡처 할 수 있습니까?

SIEM은 어떻게 작동합니까?

SIEM 도구는 회사 인프라 전체에서 호스트 시스템, 애플리케이션 및 보안 장치 (예 : 안티 바이러스 필터 및 방화벽)에서 생성 된 이벤트 및 로그 데이터를 수집하고이를 가져 오는 방식으로 작동합니다. 중앙 집중식 플랫폼에서 함께 데이터. SIEM 도구는 로그인 성공 및 실패, 맬웨어 활동 및 기타 악의적 인 활동과 같은 범주로 데이터를 식별하고 분류합니다.

SIEM 소프트웨어는 잠재적 인 보안 문제를 식별 할 때 보안 경고를 생성합니다. 사전 정의 된 규칙 집합을 사용하여 조직은 이러한 경고를 낮은 또는 높은 우선 순위로 설정할 수 있습니다.

예를 들어 25 분 동안 25 번의 로그인 시도 실패를 생성하는 사용자 계정은 의심스러운 것으로 표시 될 수 있지만 여전히 로그인 정보를 잊어 버린 사용자가 로그인 시도를 시도했기 때문에 우선 순위가 낮습니다.

그러나 5 분 동안 130 번의 로그인 시도 실패를 생성하는 사용자 계정은 높은 우선 순위로 표시됩니다. 이벤트는 진행중인 무차별 대입 공격 일 가능성이 높기 때문입니다.

SIEM이 중요한 이유는 무엇입니까?

SIEM은 기업이 대규모 필터링을 통해 보안을보다 쉽게 관리 할 수 있도록 해주기 때문에 중요합니다. 보안 데이터의 양과 소프트웨어가 생성하는 보안 경고의 우선 순위를 지정합니다.

SIEM 소프트웨어를 사용하면 조직에서 감지되지 않을 수있는 사고를 감지 할 수 있습니다. 소프트웨어는 로그 항목을 분석하여 악성 활동의 징후를 식별합니다.또한 시스템은 네트워크의 여러 소스에서 이벤트를 수집하기 때문에 공격의 타임 라인을 다시 생성하여 회사에서 공격의 성격과 비즈니스에 미치는 영향을 파악할 수 있습니다.

A SIEM 시스템은 또한 이러한 소스 중에서 기록 된 모든 보안 이벤트를 포함하는 보고서를 자동으로 생성하여 조직이 규정 준수 요구 사항을 충족하도록 도울 수 있습니다. SIEM 소프트웨어가 없으면 회사는 로그 데이터를 수집하고 보고서를 수동으로 컴파일해야합니다.

SIEM 시스템은 또한 회사의 보안 팀이 네트워크에서 공격이 취하는 경로를 발견 할 수 있도록하여 사고 관리를 향상시킵니다. , 감염된 소스를 식별하고 진행중인 공격을 방지하기위한 자동화 된 도구를 제공합니다.

SIEM의 이점

SIEM의 이점은 다음과 같습니다.

  • 위협을 식별하는 데 걸리는 시간을 크게 단축하여 이러한 위협으로 인한 피해를 최소화합니다.
  • 조직의 정보 보안 환경에 대한 전체적인보기를 제공하여 수집 및 분석이 더 쉬워집니다. 시스템을 안전하게 유지하기위한 보안 정보-조직의 모든 데이터는 중앙 집중식 저장소로 이동하여 저장되고 쉽게 액세스 할 수 있습니다.
  • 기업은 데이터를 중심으로하는 다양한 사용 사례에 사용할 수 있습니다. 또는 보안 프로그램, 감사 및 규정 준수보고를 포함한 로그, lp 데스크 및 네트워크 문제 해결;
  • 대량의 데이터를 지원하여 조직이 계속해서 데이터를 확장하고 늘릴 수 있도록합니다.
  • 위협 탐지 및 보안 경고를 제공합니다. 그리고
  • 중요한 보안 침해가 발생할 경우 세부적인 포렌식 분석을 수행 할 수 있습니다.

SIEM의 한계

그 이점에도 불구하고 여전히 몇 가지 다음을 포함한 SIEM의 제한 사항 :

  • 일반적으로 조직의 보안 제어 및 인프라의 많은 호스트와의 성공적인 통합을 보장하기위한 지원이 필요하기 때문에 구현하는 데 오랜 시간이 걸립니다. 일반적으로 SIEM이 작동하기 전에 설치하는 데 90 일 이상 걸립니다.
  • 비용이 많이 듭니다. SIEM에 대한 초기 투자는 수십만 달러가 될 수 있습니다. 또한 SIEM 구현을 관리하고 모니터링하는 인력, 연간 지원, 데이터 수집을위한 소프트웨어 또는 에이전트 비용을 포함하여 관련 비용이 추가 될 수 있습니다.
  • 보고서 분석, 구성 및 통합에는 다음과 같은 재능이 필요합니다. 전문가. 그렇기 때문에 일부 SIEM 시스템은 조직의 보안 문제를 처리하는 정보 보안 팀이 근무하는 중앙 집중식 단위 인 보안 운영 센터 (SOC) 내에서 직접 관리됩니다.
  • SIEM 도구는 일반적으로 다음에 의존합니다. 기록 된 모든 데이터를 분석하는 규칙. 문제는 회사의 네트워크가 양성일 수도 있고 아닐 수도있는 많은 수의 경고 (일반적으로 하루 10,000 건)를 생성한다는 것입니다. 결과적으로 관련없는 로그 수가 많아 잠재적 인 공격을 식별하기가 어렵습니다.
  • 잘못 구성된 SIEM 도구는 중요한 보안 이벤트를 놓칠 수 있으므로 정보 위험 관리의 효율성이 떨어집니다.

SIEM 도구 및 소프트웨어

일부 도구 SIEM 공간에는 다음이 포함됩니다.

  • Splunk. Splunk는 완전한 온 프레미스 SIEM 시스템입니다. Splunk는 보안 모니터링을 지원하고 고급 위협 탐지 기능을 제공합니다.
  • IBM QRadar. QRadar는 회사의 요구 사항과 용량에 따라 하드웨어 어플라이언스, 가상 어플라이언스 또는 소프트웨어 어플라이언스로 배치 할 수 있습니다. QRadar on Cloud는 QRadar SIEM 제품을 기반으로 IBM Cloud에서 제공하는 클라우드 서비스입니다.
  • LogRhythm. 소규모 조직을위한 우수한 SIEM 시스템 인 LogRhythm은 SIEM, 로그 관리, 네트워크 및 엔드 포인트 모니터링과 포렌식, 보안 분석을 통합합니다.
  • Exabeam. Exabeam의 SIEM 제품은 다음과 같은 여러 기능을 제공합니다. UEBA, 데이터 레이크, 고급 분석 및 위협 사냥꾼.
  • RSA. RSA NetWitness Platform은 데이터 수집, 전달, 저장 및 분석을 포함하는 위협 탐지 및 대응 도구입니다. RSA는 SOAR도 제공합니다.

올바른 SIEM 제품을 선택하는 방법

올바른 SIEM 도구 선택은 조직의 예산 및 보안 태세.

그러나 기업은 다음 기능을 제공하는 SIEM 도구를 찾아야합니다.

  • 준수보고,
  • 사고 대응 및 포렌식
  • 데이터베이스 및 서버 액세스 모니터링
  • 내부 및 외부 위협 감지
  • 다양한 애플리케이션 및 시스템에 대한 실시간 위협 모니터링, 상관 관계 및 분석
  • 침입 감지 시스템 (IDS), IPS, 방화벽, 이벤트 애플리케이션 로그, 기타 애플리케이션 및 시스템 통합,
  • 위협 인텔리전스,
  • 사용자 활동 모니터링 ( UAM).

SIEM의 역사

2000 년대 중반부터 존재 해 온 SIEM 기술은 처음에는 로그 관리 원칙, 관리 및 관리에 사용되는 집합적인 프로세스 및 정책에서 발전했습니다. 정보 시스템 내에서 생성 된 대용량 로그 데이터의 생성, 전송, 분석, 저장, 보관 및 궁극적 인 폐기를 용이하게합니다.

Gartner Inc. 분석가들은 2005 년 Gartner 보고서에서 “Improve 취약성 관리를 통한 IT 보안. ” 보고서에서 분석가들은 SIM 및 SEM 기반의 새로운 보안 정보 시스템을 제안했습니다.

기존 로그 수집 관리 시스템에 구축 된 SIM은 로그 데이터에 대한 장기 저장 분석 및보고 기능을 도입했습니다. SIM은 또한 위협 인텔리전스와 로그를 통합했습니다. SEM은 소프트웨어, 시스템 또는 IT 인프라에서 보안 관련 이벤트를 식별, 수집, 모니터링 및보고하는 문제를 해결했습니다.

그런 다음 공급 업체는 로그 및 이벤트 데이터를 실시간으로 분석하는 SEM을 결합하여 위협 모니터링을 제공하는 SIEM을 만들었습니다. , 로그 데이터를 수집, 분석 및보고하는 SIM을 사용한 이벤트 상관 관계 및 사고 대응.

SIEM의 미래

SIEM의 미래 동향은 다음과 같습니다.

  • 개선 된 오케스트레이션. 현재 SIEM은 회사에 기본적인 워크 플로우 자동화 만 제공합니다. 그러나 조직이 계속 성장함에 따라 SIEM은 추가 기능을 제공해야합니다. 예를 들어, AI 및 머신 러닝의 상용화가 증가함에 따라 SIEM 도구는 회사 내의 여러 부서에 동일한 수준의 보호를 제공하기 위해 더 빠른 오케스트레이션을 제공해야합니다. 또한 보안 프로토콜과 이러한 프로토콜의 실행이 더 빨라질뿐만 아니라 더 효과적이고 효율적일 것입니다.
  • 관리 형 탐지 및 대응 (MDR) 도구를 사용한 더 나은 협업. 해킹 및 무단 액세스의 위협이 계속 증가함에 따라 조직은 보안 위협을 감지하고 분석하기 위해 2 계층 접근 방식을 구현하는 것이 중요합니다. 회사의 IT 팀은 SIEM을 사내에서 구현하고 관리 형 서비스 공급자 (MSP)는 )는 MDR 도구를 구현할 수 있습니다.
  • 향상된 클라우드 관리 및 모니터링. SIEM 공급 업체는 클라우드를 사용하는 조직의 보안 요구 사항을보다 잘 충족하기 위해 도구의 클라우드 관리 및 모니터링 기능을 개선 할 것입니다.
  • SIEM과 SOAR은 하나의 도구로 진화 할 것입니다. SOAR의 이점을 누릴 수있는 기존 SIEM 제품을 찾으십시오. 그러나 SOAR 공급 업체는 제품의 기능을 확장하여 대응할 가능성이 높습니다.

Articles
Previous Post

프렌치 맨 스트리트
Next Post

최고의 그랜드 캐년 전망
답글 남기기