Post

SIEM

SIEM

What is Security Information and Event Management (SIEM)?

Security Information and Event Management (SIEM) is an integrated security monitoring platform that gathers and analyzes the vast amount of security data generated across an organization’s IT infrastructure. This enables the detection, response, and analysis of threats. Examining the logs and events from numerous devices and applications individually is like trying to understand an entire forest by looking at each tree one by one. SIEM is the key tool that provides a holistic view of the entire forest—that is, the organization’s overall security posture.

SIEM goes beyond simply collecting and storing logs. Through intelligent analysis, it connects seemingly unrelated events to uncover hidden threats. This allows security teams to detect attacks in real-time, meet regulatory compliance requirements, and establish a foundation for rapid response in the event of an incident.

The Core of SIEM: The Combination of SIM and SEM

The term SIEM was born from the combination of two concepts: SIM (Security Information Management) and SEM (Security Event Management).

  • SIM (Security Information Management): This component focuses on long-term data management. It’s responsible for collecting log data from various sources like firewalls, servers, and applications, storing it centrally, and analyzing it to generate reports. It plays an essential role in forensics and providing evidence for regulatory compliance such as PCI-DSS, HIPAA, and GDPR.

  • SEM (Security Event Management): This component focuses on real-time monitoring and response. It collects security events from the network in real-time, analyzes the correlation between events to immediately identify potential threats, and alerts administrators. It’s the core of immediate threat detection and incident response.

Initially, these two functions existed as separate solutions. However, modern SIEM has evolved into a single platform that integrates both, providing real-time threat detection as well as long-term analysis and reporting capabilities.

Key Functions of SIEM

For a SIEM to operate effectively, the following four key functions must be organically linked:

1. Data Collection

All analysis begins with data collection. A SIEM collects log data from nearly every IT asset within an enterprise, including network devices (firewalls, routers), security solutions (IDS/IPS, antivirus), servers (Windows, Linux), applications (web servers, databases), and cloud infrastructure. There are two main collection methods:

  • Agent-based: A lightweight software agent is installed on each host to collect and refine logs before sending them to the SIEM. This allows for more detailed and normalized data collection.
  • Agentless: Data is collected remotely using standard protocols like Syslog, SNMP, or API calls, without installing an agent. Its advantage is ease of deployment.

Since the collected data comes in different formats, the SIEM uses a parser to go through a normalization process, converting it into a consistent format.

2. Data Correlation

Correlation is arguably the core intelligence of a SIEM. Based on the normalized data, it’s the process of linking multiple events according to predefined rules to analyze them. This allows for the detection of complex attack scenarios that are difficult to identify from single events alone.

For example, let’s assume the following events occur sequentially in a short period:

  1. A user has five failed login attempts from a foreign IP address.
  2. Shortly after, the same account successfully logs in from an internal IP address.
  3. The user then attempts to access the HR database, which they do not normally access.

Individually, each of these events might not seem significant. However, the SIEM’s correlation engine can link them together, identify it as a high-risk scenario of “account takeover followed by an attempt to access critical information,” and immediately send an alert to security administrators.

3. Policies and Rules

The logical foundation of correlation is policies and rules. Most SIEM solutions provide hundreds of basic rules for known attack patterns (e.g., brute-force attacks, SQL injection, communication with malware C&C servers). However, the true value of a SIEM lies in customizing rules to fit the organization’s unique environment, business characteristics, and potential threat model. Security analysts must continuously tune these rules to reduce false positives and improve detection accuracy.

4. Alerting and Reporting

When an event is detected by a correlation rule, the SIEM immediately sends an alert to security personnel. Notification methods can be configured in various ways, from email and SMS to integration with ticketing systems like Jira or ServiceNow.

Additionally, SIEMs provide powerful visualization and reporting capabilities. Dashboards that allow for a real-time overview of the security situation increase monitoring efficiency, and custom reports for management briefings or regular compliance audits can be generated automatically.

Beyond SIEM: UEBA and SOAR

Recently, SIEM has evolved into more intelligent forms.

  • UEBA (User and Entity Behavior Analytics): This technology uses machine learning to learn the normal activity patterns of individual users, servers, and other entities. It then detects anomalous behavior that deviates from this baseline. It is highly effective at identifying insider threats and advanced persistent threats (APTs) that are difficult to discover with static rule-based detection.

  • SOAR (Security Orchestration, Automation, and Response): This is a platform that automates the follow-up actions for threats detected by a SIEM. For example, if a SIEM generates an alert for a suspected malware infection, a SOAR can automatically perform initial response actions according to a predefined playbook. This could include quarantining the affected endpoint from the network, analyzing related information, and creating a ticket, thereby significantly reducing the workload of the security team.

Combined with these next-generation technologies, SIEM functions as more than just a detection tool; it acts as the central nervous system of security operations. By transforming the vast amount of data from the IT environment into actionable intelligence, it plays a key role in helping organizations stay one step ahead of cyber threats.


Security Information and Event Management란?

보안 정보 및 이벤트 관리(SIEM)는 조직의 IT 인프라 전반에서 생성되는 방대한 양의 보안 데이터를 한곳에 모아 분석하고, 이를 통해 위협을 탐지, 대응, 분석할 수 있는 통합 보안 관제 플랫폼입니다. 수많은 장비와 애플리케이션이 각자 생성하는 로그와 이벤트를 개별적으로 살펴보는 것은 마치 숲속의 나무 하나하나만 보고 숲 전체의 상황을 파악하려는 것과 같습니다. SIEM은 바로 이 숲 전체, 즉 조직의 보안 상태에 대한 전체적인 시야(Holistic View)를 제공하는 핵심적인 도구입니다.

SIEM은 단순히 로그를 수집하고 저장하는 것을 넘어, 지능적인 분석을 통해 개별적으로는 의미 없어 보이던 이벤트들을 연결하여 숨겨진 위협을 찾아냅니다. 이를 통해 보안팀은 실시간으로 공격을 탐지하고, 규제 준수 요건을 충족하며, 사고 발생 시 신속하게 대응할 수 있는 기반을 마련하게 됩니다.

SIEM의 핵심: SIM과 SEM의 결합

SIEM이라는 용어는 두 가지 개념의 조합에서 탄생했습니다. 바로 SIM(Security Information Management)SEM(Security Event Management)입니다.

  • SIM (보안 정보 관리): 이 부분은 장기적인 데이터 관리에 중점을 둡니다. 방화벽, 서버, 애플리케이션 등 다양한 소스로부터 로그 데이터를 수집하여 중앙에서 저장하고, 이를 분석하여 리포트를 생성하는 기능을 담당합니다. 주로 사후 분석(Forensics)이나 PCI-DSS, HIPAA, GDPR과 같은 규제 준수 증빙에 필수적인 역할을 합니다.

  • SEM (보안 이벤트 관리): 이 부분은 실시간 모니터링 및 대응에 초점을 맞춥니다. 네트워크에서 발생하는 보안 이벤트를 실시간으로 수집하고, 이벤트 간의 연관성을 분석하여 잠재적인 위협을 즉시 식별하고 관리자에게 경고합니다. 즉각적인 위협 탐지 및 사고 대응의 핵심입니다.

초기에는 이 두 기능이 별개의 솔루션으로 존재했지만, 현대의 SIEM은 이 둘을 통합하여 실시간 위협 탐지와 장기적인 분석 및 리포팅 기능을 모두 제공하는 단일 플랫폼으로 발전했습니다.

SIEM의 주요 기능

SIEM이 효과적으로 동작하기 위해서는 다음과 같은 네 가지 핵심 기능이 유기적으로 연결되어야 합니다.

1. 데이터 수집 (Data Collection)

모든 분석의 시작은 데이터 수집입니다. SIEM은 네트워크 장비(방화벽, 라우터), 보안 솔루션(IDS/IPS, 백신), 서버(Windows, Linux), 애플리케이션(웹서버, 데이터베이스), 클라우드 인프라 등 기업 내 거의 모든 IT 자산으로부터 로그 데이터를 수집합니다. 수집 방식은 크게 두 가지로 나뉩니다.

  • 에이전트 기반(Agent-based): 각 호스트에 경량의 소프트웨어(에이전트)를 설치하여 로그를 수집하고 정제한 후 SIEM으로 전송합니다. 더 상세하고 정규화된 데이터 수집이 가능합니다.
  • 에이전트리스(Agentless): 에이전트 설치 없이 Syslog, SNMP, API 호출 등 표준 프로토콜을 이용해 원격으로 데이터를 수집합니다. 배포가 간편하다는 장점이 있습니다.

수집된 데이터는 서로 다른 형식을 가지고 있으므로, SIEM은 파서(Parser)를 이용해 이를 일관된 형식으로 변환하는 정규화(Normalization) 과정을 거칩니다.

2. 데이터 상관분석 (Data Correlation)

상관분석은 SIEM의 가장 핵심적인 지능이라 할 수 있습니다. 정규화된 데이터를 기반으로, 사전에 정의된 규칙(Rule)에 따라 여러 이벤트를 연관 지어 분석하는 과정입니다. 이를 통해 단일 이벤트로는 파악하기 어려운 복합적인 공격 시나리오를 탐지할 수 있습니다.

예를 들어, 다음과 같은 이벤트들이 짧은 시간 안에 순차적으로 발생했다고 가정해 봅시다.

  1. 한 사용자의 해외 IP에서의 로그인 실패 (5회)
  2. 잠시 후, 동일 계정으로 내부 IP에서 로그인 성공
  3. 해당 사용자가 평소 접근하지 않던 인사정보 데이터베이스에 접근 시도

각각의 이벤트는 독립적으로 보면 특이사항이 아닐 수 있습니다. 하지만 SIEM의 상관분석 엔진은 이들을 엮어 ‘계정 탈취 후 내부망을 통한 중요 정보 접근 시도’라는 고위험 시나리오로 판단하고 즉시 보안 관리자에게 경고를 보낼 수 있습니다.

3. 정책 및 규칙 (Policies and Rules)

상관분석의 논리적 기반이 되는 것이 바로 정책과 규칙입니다. 대부분의 SIEM 솔루션은 알려진 공격 패턴(예: Brute-force 공격, SQL Injection, 악성코드 C&C 서버 통신)에 대한 수백 개의 기본 규칙을 제공합니다. 하지만 SIEM의 진정한 가치는 조직의 고유한 환경과 비즈니스 특성, 잠재적 위협 모델에 맞춰 규칙을 커스터마이징하는 데 있습니다. 보안 분석가는 지속적인 규칙 튜닝을 통해 오탐(False Positive)을 줄이고 탐지 정확도를 높여야 합니다.

4. 알림 및 보고 (Alerting and Reporting)

상관분석 규칙에 의해 특정 이벤트가 탐지되면, SIEM은 보안 담당자에게 즉시 알림을 보냅니다. 알림 방식은 이메일, SMS부터 Jira나 ServiceNow 같은 티켓팅 시스템 연동까지 다양하게 설정할 수 있습니다.

또한, SIEM은 강력한 시각화 및 보고 기능을 제공합니다. 실시간 보안 상황을 한눈에 파악할 수 있는 대시보드를 통해 관제의 효율성을 높이고, 경영진 보고나 정기적인 규제 준수 감사를 위한 맞춤형 보고서를 자동으로 생성할 수 있습니다.

SIEM을 넘어서: UEBA와 SOAR

최근 SIEM은 더욱 지능적인 형태로 발전하고 있습니다.

  • UEBA (User and Entity Behavior Analytics): 사용자 및 엔티티 행위 분석은 머신러닝을 기반으로 각 사용자, 서버 등 개별 엔티티의 평상시 활동 패턴을 학습하고, 이 기준에서 벗어나는 비정상적인 행위를 탐지하는 기술입니다. 정적인 규칙 기반 탐지로는 발견하기 어려운 내부자 위협이나 지능형 지속 위협(APT) 공격을 식별하는 데 매우 효과적입니다.

  • SOAR (Security Orchestration, Automation, and Response): 보안 오케스트레이션, 자동화 및 대응은 SIEM이 탐지한 위협에 대한 후속 조치를 자동화하는 플랫폼입니다. 예를 들어, SIEM에서 악성코드 감염 의심 경고가 발생하면, SOAR는 사전에 정의된 대응 시나리오(Playbook)에 따라 자동으로 해당 단말을 네트워크에서 격리하고, 관련 정보를 분석하여 티켓을 생성하는 등의 초동 조치를 수행하여 보안팀의 업무 부담을 획기적으로 줄여줍니다.

이러한 차세대 기술과 결합하여, SIEM은 단순한 탐지 도구를 넘어 보안 운영의 중추 신경계로서 기능하고 있습니다. IT 환경에서 발생하는 막대한 데이터를 실행 가능한 인텔리전스로 변환함으로써, 조직이 사이버 위협에 한발 앞서 대응할 수 있도록 돕는 핵심적인 역할을 수행합니다.

This post is licensed under CC BY 4.0 by the author.