본문 바로가기
프로그래밍 놀이터/보안

[도서 정리] 35. SIEM - 보안의 기본

by 돼지왕 왕돼지 2019. 11. 14.
반응형

35. SIEM - 보안의 기본



-

SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.

원래는 SIM(Security Information  Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다.





* SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원


-

SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).

SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것은 SIEM 이 아니라 도입이 끝난 기기이다.

예를 들어 라우터나 방화벽, 인터넷 연결용 프록시 서버 등이 로그를 남기는 기기의 일례이다.





* SIEM 의 도입은 위협의 감지와 억제로 이어진다.


-

SIEM 을 도입하면 부정 행위를 조기에 발견할 수 있고, 부정행위의 억제로도 이어진다.

위협 감지 지원은 인시던트의 징후를 알기 위해 도움이 된다.



-

SIEM 은 어디까지나 장치이기 때문에 도입만으로 끝이 아니다. 그 장치를 이용해야 한다.

SIEM 의 효과가 나을지 아닐지는 일상적인 운용에 달려있다.





반응형

댓글