ESM, SIEM, SOAR에 대해 알아보도록 하겠습니다.

로그를 매번 장비에 접속하여 확인하기에는 어려움이 있어 기업 환경에 맞게 ESM, SIEM, SOAR 을 사용하여

서로다른 이기종간 보안장비들이 연동하여 관리자가 신속한 확인과 대처를 할 수 있습니다.

 

이 때 사용하는 ESM, SIEM, SOAR 용어정리와 차이점에 대해 알아보도록 하겠습니다.

 

ESM -> SIEM -> SOAR 순서로 진화되었고, 한 번에 대쉬보드로 수집된 로그들을 볼 수 있다는 장점을 가지고 있습니다.

 

ESM 과 비교하여 SIEM 은 빅데이터 기반의 대용량과 상관관계에 따른 효과적인 룰 적용이 가능하며,

 

SIEM 의 기능을 포함하여 SOAR 은 반복적인 업무를 자동화해주는 이점이있습니다.

 

자세히 알아보도록 하겠습니다.

​

Ⅰ. ESM ( Enterprise Security Management)

1) ESM 정의

 보안 시스템을 통합한 통합 보안관제 시스템이며, 침입차단 시스템(Firewall), 침입탐지 시스템(IDS), 침입방지 시스템(IPS), VPN 등의 각종 이벤트를 수집하고 분석하는 솔루션입니다. 

​

2) ESM상호 연관 분석

이기종의 여러 보안 솔루션·시스템에서 발생되는 이벤트 패턴 간에 연관성을 분석하는 것으로 보안 위협에 보다 정확한 판단과 대응을 가능하게 합니다.

​

3) 주요 기능

정보 수집 : 보안장비, 네트워크 장비에서 발생한 이벤트의 수집 및 분석

정보 분석 : 통합된 이벤트 분석으로 보안 정책 수립 및 적용

관리 기능 : 다양한 보안/네트워크 장비간 설정 통합 관리

모니터링 : 통합 분석된 정보를 토대로 외부 침입에 대비한 관제 및 내부 이상행위 탐지

​

4) 구성

Agent : 보안 장비에 탑재되어 수집된 데이터를 Manager 서버에 전달하고 통제를 받음

Manager : Agent로부터 받은 이벤트를 분석·저장 후 Console로 그 내용을 통보

Console : Manager로부터 받은 데이터의 시각적 전달, 상황 판단 기능, 관리 서버의 룰을 설정하도록 지휘·통제

Repository : 보안 장비별 구성 정보의 통합 데이터베이스 관리

Protocol: 원격 관리를 위한 SNMP, ICMP 등의 프로토콜

 

Ⅱ. SIEM(Security Information & Event Management)

1) SIEM 정의

ESM의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공합니다.

ESM 과 가장 큰 차이점은 장기간의 데이터도 성능 저하 없이 수집/검색할 수 있는 빅데이터 기반의 통합 로그 수집 시스템이다.

​

2) SIEM 특징

데이터 통합 : 다양한 장비에서 발생한 데이터를 수집하여 통합 분석 합니다.

로그 수집 : 관제 대상 시스템에 설치된 에이전트로 SNMP, syslog 서버에 저장하는 과정

로그 변환 : 다양한 로그 표현형식을 표준 포맷으로 변환하는 과정

상관관계 : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관 관계 분석 기능을 제공합니다.

로그 분류 : 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그룹핑하여 한 개의 정보로 취합하는 과정

로그 분석 : 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성 규칙을 기준으로 여러 개의 로그들의 연관성을 분석하는 과정

알림 : 이벤트를 관리자에게 이메일, SMS 로 알릴 수 있다.

대시보드 : 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있다

 

Ⅲ. SOAR(Security Orchestration, Automation and Response)

SIEM 에서 다양한 로그과 도구로부터 정보를 수집하고 분석하는 것은 맞지만 SOAR 플랫폼과 같이 실질적 조치를 취하지는 않습니다. SOAR은 보안오케스트레이션이라고도 불리며 보안관제의 단점을 극복했으며 ​여러 이기종간의 보안장비에서 데이터를 수집하여 분석하는 단순업무를 자동화시켜주는 솔루션입니다.

​

Ⅳ. ESM, SIEM, SOAR 비교

구분	ESM	SIEM	SOAR
특징	보안 솔루션 위주의 로그를 수집하고 통합	기업의 모든 자원의 정보 및 로그를 통합해서 수집	보안 및 IT 플랫폼을 모두 광범위한 네트워크에 통합할 수 있어 모든 조직과 보안 운영에 한 차원 높은 유연성을 제공
수집정보	보안시스템, 서버 시스템로그, 이벤트 등으로 수집되는 로그가 한정적	보안시스템, 보안 소프트웨어, 네트워크 장비, 어플리케이션 로드, 이벤트, 구성정보, 시스템정보, 웹로그 등	보안시스템, 보안 소프트웨어, 네트워크 장비, 어플리케이션 로드, 이벤트, 구성정보, 시스템정보, 웹로그 등
분석	시그니처(패턴) 중심 분석 IP, Port 단위분석과 알려진 패턴 위주의 분석	- 사용자, Port, IP, 어플리케이션 등의    작은 단위로 분석 가능 - APT 공격 및 알려지지 않은 패턴에 대해    분석 가능	사용자, Port, IP, 어플리케이션 등의 작은 단위로 분석 및 자동화 대응 APT 공격 및 알려지지 않은 패턴에 대해 분석 및 자동화 대응
기반 기술	1) Agent 혹은 API 를 사용해서 로그 수집 2) 관계형 데이터베이스의 테이블에 데이터를 입력하고 분석	1) 빅데이터 기술인 MapReduce 2) Indexing 등을 사용 고성능 데이터분석 가능	ESM, SIEM을 포함한 위협 탐지와 대응을 자동화하는 솔루션

감사합니다.