SIEM이란?

1990년대에 네트워크가 성장하고 더 많은 기업이 인터넷에 연결됨에 따라 방화벽은 위협을 감지하고 차단하는 데 덜 효과적이 되었습니다. 보안 전문가들은 네트워크 전반에 걸쳐 다양한 시스템에서 경고를 수집, 상관 관계를 형성하고 우선 순위를 매길 수 있는 더 나은 방법이 필요했습니다. 이러한 필요를 해결하기 위해 보안 공급업체는 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)를 결합하여 SIEM 솔루션을 만들었습니다.

SIEM의 초기 단계
SIEM 솔루션의 초기 버전은 2000년대 초에 등장했으며, 주로 로그 관리 및 준수 보고에 중점을 두었습니다. 이러한 솔루션은 네트워크 전반에서 경고를 중앙 집중화하여 SOC에 귀중한 시간을 절약했지만, 불행히도 확장성이 좋지 않았습니다. 보안 팀은 수동 프로세스에 크게 의존하여 데이터를 효과적으로 상관 관계를 형성하기 어려웠습니다.

발전과 진화
사이버 위협이 더욱 정교해짐에 따라 SIEM 솔루션은 실시간 모니터링, 고급 분석 및 기계 학습 기능을 포함하도록 발전했습니다. 이러한 변화는 조직이 이상 징후를 감지하고 이전보다 더 빠르게 위협에 대응할 수 있도록 했습니다.

SIEM 기술의 현재 상태
오늘날 SIEM 솔루션은  사이버 보안을 위한 AI 와 머신 러닝을 통합하여 분석 능력을 향상시키고 있습니다. 현대 SIEM 플랫폼은 보안 모니터링을 제공할 뿐만 아니라  보안 오케스트레이션, 자동화 및 대응(SOAR)  솔루션과 통합되어 팀이 특정 작업을 자동화하고 인시던트에 대한 대응을 조정할 수 있도록 돕습니다.

강력한 SIEM 솔루션은 포괄적인 보안 모니터링을 제공하기 위해 함께 작동하는 여러 주요 구성 요소로 구축됩니다.

로그 관리
SIEM 시스템은 서버, 네트워크 장치, 방화벽, 기타 보안 솔루션 및 클라우드 애플리케이션을 포함하여 조직 전체에서 로그를 수집하고 분석합니다. 이 데이터 수집의 목표는 잠재적인 위협을 나타내는 이상 징후를 발견하는 것입니다. 많은 SIEM 솔루션은 또한 위협 인텔리전스 피드를 수집하여 보안 팀이 새로운 사이버 위협을 식별하고 차단할 수 있도록 합니다.

이벤트 상관 관계
SIEM 솔루션은 기업 전반의 여러 시스템에서 데이터를 통합하기 때문에 효과적입니다. 그들은 데이터를 분석하고 다양한 엔터티 간의 패턴을 찾습니다. 예를 들어, 계정이 타협된 증거와 비정상적인 네트워크 트래픽이 있는 경우, SIEM은 이 두 사건이 관련이 있다고 식별하고 보안 팀이 추가 조사를 할 수 있도록 경고를 생성할 수 있습니다. 이벤트 상관 관계는 단독으로는 무해해 보이는 활동을 탐지하는 데 도움을 주지만, 다른 활동과 결합될 때 침해지표가 될 수 있습니다.

사고 대응 및 모니터링
위협을 조기에 감지하고 피해를 최소화하기 위해 SIEM 솔루션은 디지털 및 온프레미스 시스템을 지속적으로 모니터링합니다. 분석 결과는 중앙 대시보드에 표시되며, SIEM 솔루션은 미리 정의된 규칙에 따라 보안 분석가에게 경고를 보냅니다.

많은 SIEM 솔루션은 자동화된 대응 기능도 포함하고 있습니다. 특정 경우에 SIEM은 SOC에서 정의한 규칙에 따라 자동으로 조치를 취할 수 있습니다. 예를 들어, SIEM 솔루션이 가능한 악성 소프트웨어를 탐지하면, 미리 정의된 규칙에 따라 감염된 시스템을 격리하는 조치를 취할 수 있습니다. 자동화는 대응 속도를 높이고 보안 분석가가 더 복잡한 작업과 문제에 집중할 수 있도록 합니다.

효과적인 SIEM 시스템의 핵심은 데이터입니다. SIEM 솔루션은 방화벽, 클라우드 앱, 보안 시스템 및 엔드포인트를 포함한 다양한 출처에서 지속적으로 데이터를 수집합니다. 집계된 데이터는 표준 형식으로 정규화되고 관련 정보를 추출하기 위해 구문 분석됩니다. 알고리즘과 상관 관계 규칙을 사용하여 SIEM은 정규화된 데이터에서 패턴과 이상 징후를 식별하고 잠재적인 위협을 표면화할 수 있습니다. 중앙 집중식 대시보드와 경고는 보안 분석가가 추가 조사가 필요한 사건을 식별하는 데 도움을 줍니다.

SIEM 솔루션을 최대한 활용하려면 구현을 신중하게 계획하는 것이 중요합니다.

 

1. SIEM으로 달성하고자 하는 목표를 명확히 정의하고, 규정 준수 보고, 위협 탐지 또는 사건 대응과 같은 특정 사용 사례를 조직의 필요에 맞게 개발하세요.
2. 요구 사항, 확장성, 예산 및 기존 도구 및 기술과의 통합 가능성을 기준으로 다양한 SIEM 솔루션을 평가하세요.
3. SIEM에 공급할 데이터 소스를 식별하고 우선 순위를 정하며 이러한 데이터 소스에 대한 필요한 권한을 설정하세요. 광범위한 데이터 수집으로 시작하고 가장 관련성이 높은 것에 따라 점진적으로 조정하는 것이 가장 좋습니다.
4. 분석을 용이하게 하기 위해 다양한 출처의 데이터 형식을 표준화하세요.
5. 규제 요구 사항 및 조직의 필요에 따라 로그 보존 및 보안 정책을 수립하세요.
6. 사건 탐지, 분석 및 대응을 위한 명확한 워크플로를 개발하세요.
7. 자동화할 작업을 결정하고 명확한 규칙과 단계를 정의하세요.
8. 직원이 SIEM 솔루션을 효과적으로 사용하고 그 출력을 이해할 수 있도록 지속적인 교육을 제공하세요.
9. 진화하는 위협 및 조직의 변화에 따라 규칙, 경고 및 대시보드를 정기적으로 검토하고 조정하세요.

 

보안 팀은 다양한 애플리케이션을 위해 SIEM 솔루션을 사용합니다.

위협 감지 및 대응
SIEM 솔루션의 가장 일반적인 사용 사례는 위협 탐지 및 대응입니다. SIEM은 보안 팀이 내부자 위협, 고급 지속 위협 및 다중 도메인 공격과 같은 복잡한 위협을 발견하고 대응하는 데 도움을 줄 수 있습니다.

준수 관리
SOC는 종종 SIEM 솔루션을 사용하여 미국의 건강 보험 이동성 및 책임 법(HIPAA) 및 유럽 연합의 일반 데이터 보호 규정(GDPR)과 같은 지역 규정을 준수하는 데 도움을 줍니다. SIEM 시스템은 조직 전반에서 데이터를 자동으로 수집하므로 팀이 문제를 신속하게 식별하는 데 도움을 줄 수 있습니다. 그들은 또한 SIEM을 사용하여 특정 규정에 맞춘 규정 준수 보고서를 생성할 수 있습니다.

포렌식 분석
보안 인시던트에 효과적으로 대응하기 위해 SOC는 공격의 전체 범위, 동기 및 전술을 이해해야 합니다. SIEM 솔루션은 팀이 공격 경로를 결정하고 영향을 받은 모든 자산을 식별하는 데 도움을 주는 보고 및 분석을 제공합니다.

끊임없이 증가하는 데이터 볼륨을 효과적으로 분석하기 위해, 많은 SIEM 솔루션은 AI, 머신 러닝 및 사용자 행동 및 엔터티 분석(UEBA)을 통합하여 위협 탐지 능력을 향상시키고 잘못된 긍정 반응을 줄입니다. AI 기술의 발전과 사이버 보안 분석은 SIEM 솔루션이 복잡한 분석을 개선하고 더 많은 데이터 유형을 지원할 수 있도록 계속해서 허용할 것입니다.

조직이 직면한 가장 큰 보안 문제 중 하나는 각기 다른 인터페이스, 도구 및 통찰력을 가진 여러 개의 분산된 보안 솔루션을 관리하는 것입니다. 강력한 SIEM 솔루션은 확장 탐지 및 대응(XDR)와 같은 다른 도구를 통합하여 보안을 단순화합니다. XDR 솔루션은 엔드포인트, 사용자, 애플리케이션 및 클라우드를 모니터링하고 보호합니다. 이 모든 솔루션을 단일 통합 SecOps 플랫폼에 통합하면 팀이 한 곳에서 포괄적인 보안 관리를 할 수 있습니다.

SIEM 솔루션을 선택할 때는 확장성, 사용 용이성 및 통합 기능을 고려하는 것이 중요합니다. 많은 SIEM 솔루션은 Microsoft Sentinel과 같이 내장된 데이터 커넥터를 포함하여 조직이 기존 앱 및 서비스와 통합할 수 있도록 합니다. Microsoft Sentinel은 또한 통합 SecOps 플랫폼에 포함되어 XDR을 결합합니다. SOAR 및 SIEM 기능.