SIEM

Security Information and Event Management란?

• A tool로써 조직의 정보 보안에 관한 holistic view를 제공합니다.
• 로그를 수집, 저장 및 분석을 하고 종합적인 보안 보고 및 규제 준수 관리와 함께 공격 탐지, 차단 및 응답을 위해 보안 위협에 관한 모니터링을 합니다.
• SIEM은 SIM(Security Information Management)와 SEM(Security Event Management)의 기능을 같이 한다고 보면 됩니다. SIM은 분석을 위한 로그 파일들로부터 데이터를 모으고 위협과 event에 관한 리포트를 작성합니다. SEM은 실시간 모니터링을 수행하고 네트워크 관리자에게 security events사이의 관계와 중요한 이슈에 대한 것들을 알려줍니다.
• 다음 4가지의 일을 한다고 보면 됩니다.
  1. Data collection - 네트워크에서 나오는 모든 정보들을 SIEM tool에 넣는다. 어떤 툴들은 agent를 이용해서 event logs를 모으고 가공한 후 SIEM에 보내는 것도 있고 Splunk와 같이 agentless data collection도 있다.
  2. Policies - SIEM 관리자에 의해 만들어진 profile이며 normal condition과 pre-defined security incidents에 관한 behavior들을 정의하고 있다. SIEM이 기본적인 rules, alerts, reports, dashboard들을 제공해주고 있다.
  3. Data consolidation and correlation - 로그들을 parse하고 analyze해서 의미 있는 보안 이슈에 각자의 data events를 관계짓는다.
  4. Notifications - SIEM rule을 트리거하는 이벤트가 있을때 시스템은 보안 관계자에게 알람을 준다.