SIEM(Security Information and Event Management)

[정의]

• 보안정보 이벤트 관리라고 하며 다양한 보안 장비와 시스템에 생성되는 로그를 수집 · 정규화  · 분석하여 보안 이벤트간 상간관계를 도출하여 이상 징후를 실시간으로 탐지 후 경고를 발생 시킨다.
• 기록 기반 SIM(Security Information Management) 로그 수집, 저장, 분석, 시각화
• 행위 기반 SEM(Security Event Management)의 실시간 이벤트 상관 분석, 경고, 대응
• 기록 기반 SIM과 행위 기반 SEM을 합친 것
• 로그 수집 - 정규화 및 저장 - 로그 바탕의 이상행위 탐지 및 상관 분석 - 시각화 및 경고 - 보고서 작성의 과정
• 로그 수집 : 방화벽, 서버, DB, 클라우드, 네트워크 장비 등에서 수집 함
• 단일 장비에서 정상적으로 인식 할 수 있을 이벤트가 동시에 일어 났으면 의심하여 탐지

 

[기능]

• 이기종 장비의 로그를 중간에서 통합 관리
• 서로 다른 이벤트를 연결해 복합 공격 시나리오 식별

 

[한계]

• 위협을 탐지 분석에서는 탁월하지만, 실시간 대응 조치 자동화 실행은 제한적