보안 정보 및 이벤트 관리(SIEM)는 다양한 소스에서 보안 데이터를 수집, 분석 및 상호 연관시켜 잠재적 위협을 실시간으로 탐지, 조사 및 대응하는 사이버 보안 솔루션입니다.
목차
SIEM 의미
보안 운영 센터(SOC)는 사이버 보안에서 점점 더 중요한 역할을 합니다. SOC는 조직 내에서 보안 문제를 처리하는 중앙 집중식 장치입니다. 사이버 위협을 실시간으로 모니터링, 탐지, 대응 및 완화하도록 설계된 포괄적인 사이버 보안 전략의 필수적인 부분입니다. 사이버 공격의 양과 정교함으로 인해 디지털 자산을 보호하고 강력한 보안 태세를 유지하는 것을 목표로 하는 조직에 SOC가 필수적입니다.
SIEM 보안 기능
SIEM 시스템은 로그 데이터를 수집 및 집계하고, 상관 분석을 수행하여 이상을 식별하고, 보안 팀을 위한 실행 가능한 경보를 생성하여 작동합니다. 또한 규정 준수 및 감사 요구 사항에 도움이 되는 자세한 보고서를 제공합니다. 최신 보안 운영 센터(SOC)의 초석인 SIEM은 원시 로그 데이터를 실행 가능한 인텔리전스로 변환하여 조직이 사전에 위험을 완화할 수 있도록 위협 탐지, 사고 대응 및 전반적인 보안 태세를 강화합니다.
로그 수집
SIEM 시스템은 방화벽, 서버, 엔드포인트, 데이터베이스 및 클라우드 서비스를 포함한 IT 인프라 전반의 다양한 장치 및 애플리케이션에서 로그 및 경고 데이터를 수집합니다. 이러한 집계를 통해 모든 보안 관련 정보를 한 곳에 저장하여 가시성을 간소화하고 사일로를 제거할 수 있습니다. 로그에는 사용자 활동, 시스템 오류, 액세스 시도 및 애플리케이션별 이벤트가 포함될 수 있습니다. 다양한 소스에서 데이터를 수집할 수 있는 기능을 통해 SIEM은 조직의 보안 환경에 대한 전체적인 관점을 제공할 수 있습니다.
보안 이벤트 상관관계 파악
보안 이벤트의 상관관계는 여러 로그 간의 패턴 및 관계를 분석하여 잠재적 위협 또는 의심스러운 행동을 식별하는 것입니다. 예를 들어, 로그인 시도가 한 번 실패해도 문제가 발생하지 않을 수 있지만 여러 번 실패하고 비정상적인 위치에서 성공적으로 로그인하면 무차별 공격이 발생할 수 있습니다. SIEM은 사전 정의된 규칙, 머신러닝 알고리즘 및 상황 인식 분석을 적용하여 이러한 패턴을 식별하고 조사를 위해 잠재적 보안 사고의 우선순위를 지정합니다.
경고 및 알림
비정상적인 활동 또는 잠재적 보안 사고가 감지되면 SIEM 시스템은 사전 정의된 임계값 및 규칙을 기반으로 경고를 생성합니다. 이러한 경고는 대시보드, 이메일 또는 통합 대응 도구를 통해 보안 팀에 전송됩니다. 예를 들어 중요한 데이터베이스에 대한 무단 액세스 또는 서비스 거부(DoS) 공격을 나타내는 비정상적인 트래픽 급증에 대해 경고가 트리거될 수 있습니다. 경보는 보안 담당자가 가장 중요한 문제에 먼저 집중하여 대응 효율성을 개선할 수 있도록 우선 순위가 지정됩니다.
보고서 생성
SIEM 플랫폼은 보안 이벤트, 동향 및 사고 대응을 요약하는 포괄적인 보고서를 생성합니다. 이러한 보고서는 시간이 지남에 따라 조직의 보안 태세를 이해하고, 규정 준수 요구 사항을 충족하며, 향후 방어를 개선하기 위해 실행 가능한 통찰력을 제공하는 데 필수적입니다. 또한 침해 후 격리, 근절 및 복구를 위한 단계별 절차를 자세히 설명하는 사고 관리 워크플로우도 포함할 수 있습니다. 보고서는 종종 내부 검토 및 외부 감사를 위한 중요한 문서 역할을 합니다.
SIEM 도구
SIEM 도구는 조직의 엔드포인트에서 실시간으로 대량의 데이터를 수집 및 분석하고 보안 팀과 협력하여 사이버 위협을 탐지 및 차단합니다. 이러한 팀을 돕고 경고를 생성하려면 규칙을 정의해야 합니다.
SIEM 도구는 또한 다음을 지원합니다.
- 다양한 소스의 데이터를 통합하는 데 도움이 되는 이벤트 로그입니다.
- 다양한 로그 또는 소스의 이벤트 상관관계에서 얻은 원시 데이터에 인텔리전스 추가
- 보안 경보 자동화. 대부분의 SIEM 플랫폼에서는 직접 알림을 설정할 수 있습니다.
SIEM 및 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구는 보안 이벤트 데이터를 중앙 집중화하고 대응 워크플로우를 자동화하는 데 중요한 역할을 했습니다. 유틸리티에도 불구하고 중요한 과제에 직면합니다.
- 데이터 과부하: SIEM 플랫폼은 종종 과도한 경보를 생성하여 SOC 팀을 압도하고 경보 피로로 이어집니다.
- 통합 복잡성: SOAR은 복잡하고 시간이 많이 소요될 수 있는 다양한 도구와의 원활한 통합에 크게 의존합니다.
- 운영 사일로: 두 기술 모두 데이터의 상관관계를 파악하고 대응을 조정하여 사고 대응에 비효율성을 발생시키기 위해 상당한 수작업이 필요합니다.
이러한 툴은 여전히 가치가 있지만 탐지 및 대응에 대한 단편적인 접근 방식은 XDR이 더 응집력 있는 솔루션을 제공할 수 있는 기회를 제공했습니다.
XDR 대 SIEM
XDR은 보안 수준과 효율성을 개선하기 위한 도구라는 점에서 SIEM과 유사합니다. SIEM과 XDR의 차이점은 다음과 같습니다.
데이터 수집 대상 및 맥락화
- SIEM: 네트워크 또는 시스템 내에서 생성된 이벤트 및 로그를 수집, 관리 및 분석합니다. 분석은 주로 비정상적인 활동 및 공격 징후를 탐지하기 위해 로그 데이터에 대해 수행됩니다.
- XDR: 엔드포인트, 네트워크 및 클라우드를 포함한 여러 데이터 소스에서 원격 측정 데이터를 수집하고 분석합니다. 보안 이벤트뿐만 아니라 엔드포인트 파일 및 프로세스 정보, 네트워크 트래픽 데이터 등을 수집합니다.
분석 및 탐지
- SIEM: 사전 정의된 규칙 및 알고리즘에 따라 수집된 데이터를 분석합니다. 비정상적인 활동 또는 공격 징후를 탐지하고 적절한 경고 및 경고를 생성합니다. 일부 제품은 기계 로그 간의 상관 관계를 분석할 수 있습니다. 그러나 이벤트가 가능한 사이버 공격인지 여부에 대한 판단은 운영자의 '인간의 직관'에 의존합니다.
- XDR: XDR을 제공하는 사이버 보안 회사가 보유한 위협 인텔리전스(맬웨어, 악성 사이트, 악성 이메일, 사이버 공격자가 사용하는 공격 방법 등)를 기반으로 수집된 원격 측정을 위해 사이버 공격의 징후가 결정됩니다.
사고 대응 및 자동화
- SIEM: 사고 대응을 지원하기 위해 보안 사고에 대한 기본 정보와 절차를 제공합니다. SIEM은 주로 경고 생성 및 모니터링에 중점을 두는 반면 실제 대응 절차에는 다른 제품이 필요할 수 있습니다.
- XDR: 보안 사고에 대한 신속한 대응을 지원하는 자동화 및 오케스트레이션 기능을 제공합니다. 탐지된 위협을 분석하고 대응 지침을 실시간으로 제공합니다.
소스에 대한 의존
- SIEM 솔루션의 가치는 정보를 얻는 출처와 직접 관련이 있습니다. 보장 범위에 격차가 있는 경우, 종종 늦게 발견되거나 전혀 발견되지 않습니다.
- 결과적으로 SIEM을 XDR과 비교할 경우 대부분의 경우 이는 결정이 아님을 지적해야 합니다. SIEM은 탐지 및 대응 로그에서 가장 많은 가치를 얻기 때문에 XDR 및 SIEM이 더 자주 사용됩니다.
- SIEM 솔루션이 제3자 제공업체가 생성한 정보의 품질에 의존하기 때문에 두 변종이 동시에 사용되고 XDR 솔루션이 사전 관련 데이터를 SIEM에 전달하는 경우가 많습니다.
SIEM 혜택
로그는 중앙에서 관리할 수 있습니다.
SIEM을 도입하여 로그를 중앙에서 관리할 수 있습니다. 따라서 각 장치에 대한 로그를 관리할 필요가 없으며 관리 오류와 누락이 줄어듭니다. 또한 SIEM은 수집된 로그를 정규화하고 전체 IT 환경을 시각화하여 효율적이고 포괄적인 관리를 가능하게 합니다.
보안 사고 및 위협 조기 탐지
SIEM은 로그 관리를 중앙 집중화하고 실시간으로 상관관계 분석을 수행하여 사고 및 위협을 조기에 탐지할 수 있습니다. 위협 증상 또는 사고가 발견되면 신속하게 대응하고 피해 확산을 최소화할 수 있습니다.
내부 사기 방지
보안 사고는 외부 사이버 공격에 의해서만 발생하는 것이 아닙니다. 자체 조직의 직원에 의한 위법 행위를 방지하는 것도 조직에 중요한 보안 조치입니다. SIEM을 도입하면 의심스러운 직원 행동과 무단 액세스를 감지할 수 있습니다. SIEM은 또한 내부 사기를 예방하는 데 효과적입니다.
보안 인력 부족 제거
SIEM을 사용하면 보안 운영을 간소화할 수 있습니다. 로그 집계, 정규화 및 분석과 같은 일련의 작업을 자동화하여 조직의 보안 조치에 필요한 리소스를 줄일 수 있습니다. SIEM을 운영하려면 특정 수준의 보안 지식이 필요하지만 이를 도입하면 이전보다 더 효율적인 보안 조치를 구현할 수 있습니다.
SOC에서 SIEM의 역할
SIEM은 주로 조직 내 보안을 모니터링하고 사이버 공격 및 사고의 발생을 이해하는 조직인 보안 운영 센터(SOC)에서 사용됩니다. 보안 전문가가 다음과 같은 방법으로 효율적인 보안 운영을 지원하는 데 중요한 도구입니다.
통합 로그 관리를 통한 알림
SIEM은 통합 방식으로 다양한 로그를 관리하고 비정상적인 활동 또는 공격의 징후를 탐지하며 보안 담당자에게 알립니다. 예를 들어, 멀웨어 및 기타 무단 행동을 탐지하는 것 외에도 SIEM은 중요한 정보가 저장된 서버에 대한 여러 번의 로그인 시도 또는 회사에서 승인하지 않은 클라우드 서비스 사용과 같은 의심스러운 이벤트가 탐지될 때 경고합니다.
사고 조사 및 대응
승인되지 않았거나 의심스러운 이벤트를 기반으로 SIEM은 사이버 공격(정상적인 행동, 액세스 오류 등)인지 여부를 조사합니다. 사이버 공격으로 판단되면 외부 또는 내부 사이버 공격 여부를 포함하여 공격의 경로와 범위를 추적하여 사고 대응을 위한 단서를 제공할 수 있습니다.
보고
중장기적인 관점에서 회사의 보안 정책 위반 상태와 사이버 공격의 영향을 시각화한 다음 보고서를 생성합니다. 회사는 1개월, 3개월, 6개월, 1년 등의 기간 동안 회사가 어떤 종류의 사이버 공격을 받았는지 시각화함으로써 다음에 취해야 할 보안 조치를 고려할 수 있습니다.
SIEM의 주요 사용 사례는 위에 나열되어 있지만 보안 담당자에게 가장 큰 이점은 이벤트를 신속하게 시각화하고 여러 다른 제품의 정보를 기록하여 다음 작업에 연결하는 기능입니다.
SIEM 과제
SIEM은 SOC 및 기타 조직에 이점을 제공하지만 다음과 같은 문제도 제기합니다.
복잡한 구현 및 구성
SIEM은 구현 및 구성에 시간과 전문 지식이 필요한 복잡한 시스템입니다. 보안 전문가는 장치 로그와 데이터 소스를 통합하고 규칙을 구성하며 경고를 조정하기 위해 지속적으로 노력해야 합니다.
대량의 로그 데이터 처리
대량의 로그 데이터를 처리하고 분석해야 합니다. 대량의 데이터를 처리하려면 적절한 하드웨어 및 스토리지 리소스가 필요합니다. 또한 로그 데이터 보존 기간 및 데이터 압축/축소를 관리해야 합니다.
오탐 및 경보 과부하에 대한 지속적인 대응
SIEM은 사전 정의된 규칙 및 패턴을 기반으로 경고를 생성하지만 오탐 및 부정이 발생할 수 있습니다. 구성에 따라 많은 수의 경고가 수신될 수 있으므로 사용자 측에서 경고를 지속적으로 조정하고 규칙을 개선해야 합니다.
사고 탐지 후 대응
이벤트가 실시간으로 감지되면 실제 인시던트를 확인하고 대응해야 합니다. 보안 담당자가 미리 경보를 조정하지 않으면 다양한 크기의 경보에 대응해야 하며, 이로 인해 운영 효율성이 떨어질 수 있습니다.
기술 및 리소스 요구 사항
SIEM의 적절한 구현 및 운영에는 보안 분석 및 로그 관리 기술이 필요합니다. 또한 적절한 리소스(인력, 하드웨어 및 소프트웨어)의 가용성이 필요합니다.
SIEM에 대한 도움은 어디에서 얻을 수 있습니까?
이미 읽으셨듯이 SIEM은 고립된 상태로 수행해야 하는 것이 아닙니다. Trend Vision One™ Security Operations(SecOps)는 엔드포인트, 서버, 이메일, ID, 모바일, 데이터, 클라우드 워크로드, OT, 네트워크, 글로벌 위협 인텔리전스 피드 전반에 걸쳐 이벤트를 상호 연관시켜 포괄적인 컨텍스트를 위해 XDR, 에이전트 SIEM 및 SOAR을 통합합니다.
SecOps는 가장 높은 우선순위를 표시하고, 실행 가능한 알림을 얻고, 복잡한 대응 조치를 자동화할 수 있도록 지원합니다. 팀은 지루하고 반복적인 작업에 더 적은 시간을 소비하고 위협 헌팅 및 탐지 엔지니어링과 같은 높은 가치의 선제적 보안 작업에 더 많은 시간을 소비합니다.
Joe Lee 는 트렌드마이크로의 제품 관리 부사장으로 엔터프라이즈 이메일 및 네트워크 보안 솔루션에 대한 글로벌 전략 및 제품 개발을 이끌고 있습니다.
자주 묻는 질문(FAQ)
보안 정보 및 이벤트 관리는 무엇을 합니까?
보안 정보 및 이벤트 관리(SIEM)는 조직의 IT 시스템 전반에서 보안 데이터를 수집, 분석 및 상호 연관시켜 위협을 탐지하고 사고 대응을 지원하며 규정 준수를 보장합니다.
SIEM의 세 가지 주요 역할은 무엇입니까?
SIEM의 세 가지 주요 역할은 보안 데이터를 수집 및 중앙 집중화하고, 잠재적 위협을 탐지 및 경고하며, 사고 대응 및 규정 준수 보고를 지원하는 것입니다.
보안 정보 및 이벤트 관리 상관관계 규칙의 목적은 무엇입니까?
보안 정보 및 이벤트 관리(SIEM) 상관 관계 규칙의 목적은 다른 위협 탐지 방법이 놓칠 수 있는 복잡한 사이버 보안 위협을 포착하는 것입니다.
보안 정보 관리와 보안 이벤트 관리의 차이점은 무엇입니까?
보안 정보 관리(SIM)는 규정 준수 및 보고를 위해 장기 로그 데이터를 수집하고 분석합니다. 보안 이벤트 관리(SEM)는 위협을 신속하게 탐지하고 대응하는 데 중점을 둡니다.
SIEM 도구의 예는 무엇입니까?
보안 정보 및 이벤트 관리(SIEM)에 일반적으로 사용되는 도구의 예로는 데이터 수집 도구, 검색 노드, 인덱스 및 집계 지점, 보안 경고 등이 있습니다.
SIEM의 세 가지 유형은 무엇입니까?
보안 정보 및 이벤트 관리(SIEM) 시스템의 세 가지 주요 유형은 온프레미스(온사이트) SIEM, 클라우드 기반 SIEM 및 하이브리드 SIEM 모델입니다.
SIEM으로 간주되는 것은 무엇입니까?
보안 정보 및 이벤트 관리(SIEM)는 IT 로그를 분석하여 가능한 사이버 보안 사고를 탐지하고 대응하는 모든 사이버 보안 서비스 또는 솔루션입니다.
방화벽과 SIEM의 차이점은 무엇입니까?
방화벽은 악성 공격이 IT 시스템에 침투하는 것을 차단합니다. 보안 정보 및 이벤트 관리(SIEM)는 시스템 내부의 사이버 위협을 탐지하는 광범위한 솔루션입니다.
SIEM 소프트웨어란 무엇입니까?
보안 정보 및 이벤트 관리(SIEM) 소프트웨어는 IT 로그의 데이터를 분석하여 사이버 위협을 탐지하고 대응하는 사이버 보안 도구입니다.
SIEM과 SOC의 차이점은 무엇입니까?
보안 운영 센터(SOC)는 사이버 보안 전문가 팀입니다. 보안 정보 및 이벤트 관리(SIEM)는 SOC가 사이버 공격을 탐지하고 방지하는 데 사용하는 도구입니다.