35. SIEM - 보안의 기본

SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.

원래는 SIM(Security Information Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다.

* SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원

SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).

SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것은 SIEM 이 아니라 도입이 끝난 기기이다.

예를 들어 라우터나 방화벽, 인터넷 연결용 프록시 서버 등이 로그를 남기는 기기의 일례이다.

* SIEM 의 도입은 위협의 감지와 억제로 이어진다.

SIEM 을 도입하면 부정 행위를 조기에 발견할 수 있고, 부정행위의 억제로도 이어진다.

위협 감지 지원은 인시던트의 징후를 알기 위해 도움이 된다.

SIEM 은 어디까지나 장치이기 때문에 도입만으로 끝이 아니다. 그 장치를 이용해야 한다.

SIEM 의 효과가 나을지 아닐지는 일상적인 운용에 달려있다.