로그를 매번 장비에 접속하여 확인하기에는 어려움이 있어 기업 환경에 맞게 ESM, SIEM, SOAR 을 사용하여
서로다른 이기종간 보안장비들이 연동하여 관리자가 신속한 확인과 대처를 할 수 있습니다.
이 때 사용하는 ESM, SIEM, SOAR 용어정리와 차이점에 대해 알아보도록 하겠습니다.
ESM -> SIEM -> SOAR 순서로 진화되었고, 한 번에 대쉬보드로 수집된 로그들을 볼 수 있다는 장점을 가지고 있습니다.
ESM 과 비교하여 SIEM 은 빅데이터 기반의 대용량과 상관관계에 따른 효과적인 룰 적용이 가능하며,
SIEM 의 기능을 포함하여 SOAR 은 반복적인 업무를 자동화해주는 이점이있습니다.
자세히 알아보도록 하겠습니다.
Ⅰ. ESM ( Enterprise Security Management)
1) ESM 정의
보안 시스템을 통합한 통합 보안관제 시스템이며, 침입차단 시스템(Firewall), 침입탐지 시스템(IDS), 침입방지 시스템(IPS), VPN 등의 각종 이벤트를 수집하고 분석하는 솔루션입니다.
2) ESM상호 연관 분석
이기종의 여러 보안 솔루션·시스템에서 발생되는 이벤트 패턴 간에 연관성을 분석하는 것으로 보안 위협에 보다 정확한 판단과 대응을 가능하게 합니다.
3) 주요 기능
정보 수집 : 보안장비, 네트워크 장비에서 발생한 이벤트의 수집 및 분석
정보 분석 : 통합된 이벤트 분석으로 보안 정책 수립 및 적용
관리 기능 : 다양한 보안/네트워크 장비간 설정 통합 관리
모니터링 : 통합 분석된 정보를 토대로 외부 침입에 대비한 관제 및 내부 이상행위 탐지
4) 구성
Agent : 보안 장비에 탑재되어 수집된 데이터를 Manager 서버에 전달하고 통제를 받음
Manager : Agent로부터 받은 이벤트를 분석·저장 후 Console로 그 내용을 통보
Console : Manager로부터 받은 데이터의 시각적 전달, 상황 판단 기능, 관리 서버의 룰을 설정하도록 지휘·통제
Repository : 보안 장비별 구성 정보의 통합 데이터베이스 관리
Protocol: 원격 관리를 위한 SNMP, ICMP 등의 프로토콜
Ⅱ. SIEM(Security Information & Event Management)
1) SIEM 정의
ESM의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공합니다.
ESM 과 가장 큰 차이점은 장기간의 데이터도 성능 저하 없이 수집/검색할 수 있는 빅데이터 기반의 통합 로그 수집 시스템이다.
2) SIEM 특징
데이터 통합 : 다양한 장비에서 발생한 데이터를 수집하여 통합 분석 합니다.
로그 수집 : 관제 대상 시스템에 설치된 에이전트로 SNMP, syslog 서버에 저장하는 과정
로그 변환 : 다양한 로그 표현형식을 표준 포맷으로 변환하는 과정
상관관계 : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관 관계 분석 기능을 제공합니다.
로그 분류 : 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그룹핑하여 한 개의 정보로 취합하는 과정
로그 분석 : 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성 규칙을 기준으로 여러 개의 로그들의 연관성을 분석하는 과정
알림 : 이벤트를 관리자에게 이메일, SMS 로 알릴 수 있다.
대시보드 : 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있다
Ⅲ. SOAR(Security Orchestration, Automation and Response)
SIEM 에서 다양한 로그과 도구로부터 정보를 수집하고 분석하는 것은 맞지만 SOAR 플랫폼과 같이 실질적 조치를 취하지는 않습니다. SOAR은 보안오케스트레이션이라고도 불리며 보안관제의 단점을 극복했으며 여러 이기종간의 보안장비에서 데이터를 수집하여 분석하는 단순업무를 자동화시켜주는 솔루션입니다.
Ⅳ. ESM, SIEM, SOAR 비교
구분
|
ESM
|
SIEM
|
SOAR
|
특징
|
보안 솔루션 위주의 로그를 수집하고 통합
|
기업의 모든 자원의 정보 및 로그를 통합해서 수집
|
보안 및 IT 플랫폼을 모두 광범위한 네트워크에 통합할 수 있어 모든 조직과 보안 운영에 한 차원 높은 유연성을 제공
|
수집정보
|
보안시스템, 서버 시스템로그, 이벤트 등으로 수집되는 로그가 한정적
|
보안시스템, 보안 소프트웨어, 네트워크 장비, 어플리케이션 로드, 이벤트, 구성정보, 시스템정보, 웹로그 등
|
보안시스템, 보안 소프트웨어, 네트워크 장비, 어플리케이션 로드, 이벤트, 구성정보, 시스템정보, 웹로그 등
|
분석
|
시그니처(패턴) 중심 분석
IP, Port 단위분석과 알려진 패턴 위주의 분석
|
- 사용자, Port, IP, 어플리케이션 등의
작은 단위로 분석 가능 - APT 공격 및 알려지지 않은 패턴에 대해
분석 가능 |
사용자, Port, IP, 어플리케이션 등의 작은 단위로 분석 및 자동화 대응
APT 공격 및 알려지지 않은 패턴에 대해 분석 및 자동화 대응
|
기반 기술
|
1) Agent 혹은 API 를 사용해서 로그 수집
2) 관계형 데이터베이스의 테이블에 데이터를 입력하고 분석
|
1) 빅데이터 기술인 MapReduce
2) Indexing 등을 사용 고성능 데이터분석 가능
|
ESM, SIEM을 포함한 위협 탐지와 대응을 자동화하는 솔루션
|
감사합니다.
'네트워크' 카테고리의 다른 글
SHTTP 와 SSL 에 대해 알아보겠습니다. (0) | 2022.12.13 |
---|---|
NAT(Network Address Translocation)에 대해 알아보겠습니다 (0) | 2022.12.10 |
DoS, DDoS, DRDoS 에 대해 알아보도록 하겠습니다. (0) | 2022.12.04 |
VLAN 에 대해 알아보겠습니다. (0) | 2022.12.02 |
L4 / L7 (Load Balancing) 에 대해 알아보겠습니다. (0) | 2022.11.30 |