[도서 정리] 35. SIEM - 보안의 기본 35. SIEM - 보안의 기본 -SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.원래는 SIM(Security Information Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다. * SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원 -SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것.. 2019. 11. 14. [도서 정리] 28. 각종 로그 - 보안의 기본 28. 각종 로그 - 보안의 기본 * 네트워크 기기의 로그 -네트워크 기기(라우터, 방화벽, 스위치 등)의 로그를 확인함으로써 보통은 발생할 수 없는 수상한 통신을 발견할 수 있다. * 서버 로그 -수상한 프로그램의 실행을 확인하는 데 도움이 된다.또한 성능 로그를 취득하도록 해 두면 부하의 추이를 남길 수 있다. * 로그에 기록할 내용이나 기간과 기록할 기기의 시각 동기화가 중요 -로그에는 뭐든지 저장하는 것이 아니라 적절한 기록 항목 및 기록할 기기를 고르는 것이 중요하다.그리고 로그를 기록할 기기는 시각을 동기화시켜 두고, 여러 로그 간에 발생된 정보를 대조하기 쉽도록 해 두는 것이 중요하다.그 외에 어떤 종류의 로그를 취득할 수 있는지를 가려내는 것도 중요하다.또한 무엇을 기록할지에 더해 어느 정.. 2019. 11. 7. [도서 정리] 26. 보안 운영 센터 (SOC) - 보안의 기본 26. 보안 운영 센터 (SOC) - 보안의 기본 * 보안 이벤트를 통지하는 장치 -SOC(Security Operation Center: 보안 운영 센터)는 다양한 보안 기기를 사용하여 시스템이나 네트워크와 같은 감시 대상에 발생한 보안 이벤트를 감지했을 때 감지한 내용을 일정 기준에 따라 취사선택하여 통지처에게 알려주는 일련의 장치이며, 그러한 작업을 말한다. -CSIRT(Computer Security Incident Response Team)가 보안 사고 대응을 하는 일련의 작업인데 반해, SOC는 어디까지나 감시와 통지가 주요 업무이다.단, 경우에 따라서는 SOC 가 보안 이벤트를 처리하기도 한다. * SOC 에서 사용하는 기기와 정보 -SOC 의 목적은 보안 이벤트의 적시적절한 감지이며, 필요.. 2019. 11. 5. 반응형 이전 1 다음