[도서 정리] 35. SIEM - 보안의 기본 35. SIEM - 보안의 기본 -SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.원래는 SIM(Security Information Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다. * SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원 -SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것.. 2019. 11. 14. [도서 정리] 28. 각종 로그 - 보안의 기본 28. 각종 로그 - 보안의 기본 * 네트워크 기기의 로그 -네트워크 기기(라우터, 방화벽, 스위치 등)의 로그를 확인함으로써 보통은 발생할 수 없는 수상한 통신을 발견할 수 있다. * 서버 로그 -수상한 프로그램의 실행을 확인하는 데 도움이 된다.또한 성능 로그를 취득하도록 해 두면 부하의 추이를 남길 수 있다. * 로그에 기록할 내용이나 기간과 기록할 기기의 시각 동기화가 중요 -로그에는 뭐든지 저장하는 것이 아니라 적절한 기록 항목 및 기록할 기기를 고르는 것이 중요하다.그리고 로그를 기록할 기기는 시각을 동기화시켜 두고, 여러 로그 간에 발생된 정보를 대조하기 쉽도록 해 두는 것이 중요하다.그 외에 어떤 종류의 로그를 취득할 수 있는지를 가려내는 것도 중요하다.또한 무엇을 기록할지에 더해 어느 정.. 2019. 11. 7. 반응형 이전 1 다음