SIEM 로깅: 개요 및 모범 사례

SIEM(보안 정보 및 이벤트 관리)은 조직 내 수천 개의 엔드포인트, 서버 및 애플리케이션을 중심으로 소용돌이치는 보안 정보를 중앙 집중화하는 중추적인 사이버 보안 도구입니다. 최종 사용자와 장치는 모든 애플리케이션 터치포인트와 상호 작용하면서 디지털 지문을 로그 형식으로 남깁니다. 이러한 파일은 전통적으로 버그 수정 및 품질 관리에 큰 역할을 해왔습니다. 결국 소스에서 바로 오류 정보를 제공하기 때문입니다. 그러나 2005년에 보안 전문가들은 이러한 작은 파일에 담긴 진정한 잠재력을 깨닫기 시작했습니다. 이러한 IT 인프라를 모니터링하는 SIEM 로깅에 공급할 수 있는 실시간 데이터 호스트를 제공합니다. 그 이후로 보안 전문가들은 위협 가시성과 이벤트 로그 양 사이의 균형을 신중하게 다루었습니다. 이 문서에서는 보안 도구의 잠재력을 최대한 발휘할 수 있는 SIEM 로그 관리에 대한 몇 가지 모범 사례를 다룹니다.
Next-Gen-Datasheet-pdf.webp

차세대 SIEM

Stellar Cyber ​​차세대 SIEM은 Stellar Cyber ​​Open XDR 플랫폼의 핵심 구성 요소입니다.

데모-이미지.webp

AI 기반 보안을 실제로 경험해 보세요!

즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!

SIEM이 중요한 이유

SIEM 로그 관리의 가장 중요한 점은 방대한 양의 로그를 효율적으로 분석하여 보안 분석가가 중요한 위협에 집중할 수 있다는 것입니다. 또한 SIEM 시스템은 단순화된 분석을 위해 이기종 기업 환경의 데이터를 정규화하고, 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 제공하며, 잠재적인 보안 위협이 감지되면 심각도에 따라 우선순위가 지정된 자동 경고를 보내고, 사고 대응 및 포렌식에 중요한 세부 기록을 유지합니다. 조사. 본질적으로, SIEM 로그 관리는 현대 IT 환경의 복잡한 환경에서 강력하고 대응력이 뛰어난 보안 태세를 구축하고 유지하는 데 필수적입니다.

SIEM 로깅이란 무엇이며 어떻게 작동합니까?

실시간 보안을 제공하기 위해 SIEM 소프트웨어는 여러 소스에서 로그를 수집하여 중앙 로깅 시스템으로 전송합니다. 와 함께 'SIEM이란 무엇입니까?' SIEM 툴링에서 사용하는 다양한 방법을 더 깊이 파고드는 것이 가능합니다.

에이전트 기반 로그 수집

이 로그 집계는 로컬 수준에서 발생합니다. 에이전트에는 로그 필터 및 정규화 기능이 포함되어 있어 리소스 효율성이 향상됩니다. 로그 데이터가 일괄적으로 압축된다는 사실 덕분에 에이전트는 일반적으로 네트워크 대역폭을 덜 차지합니다.

직접 연결

종종 네트워크 프로토콜이나 API 호출에 의해 촉진되는 에이전트 없는 로깅은 SIEM 프로그램이 스토리지에서 직접 로그 파일(종종 syslog 형식)을 검색하는 또 다른 형태의 SIEM 로깅입니다. 이점은 배포 용이성부터 소프트웨어 또는 버전 업데이트의 필요성 제거까지 다양합니다. 이 옵션은 종종 SIEM 유지 관리 비용 절감에 기여합니다.

이벤트 스트리밍 프로토콜

에이전트 기반 및 에이전트 없는 로깅 방법은 모두 데이터를 수집하는 서로 다른 방법을 제공하지만 이벤트 기반 아키텍처는 이 프로세스를 강을 통해 이동하는 이벤트 흐름으로 다시 개념화합니다. 각 이벤트는 다운스트림 소비자에 의해 캡처되고 추가 처리될 수 있습니다. Cisco가 고안한 프로토콜인 NetFlow는 이러한 접근 방식의 한 예입니다. 인터페이스에 들어오거나 나갈 때마다 IP 네트워크 트래픽을 수집합니다. NetFlow 데이터 분석을 통해 네트워크 관리자는 트래픽의 소스와 대상, 사용된 프로토콜, 통신 기간 등의 중요한 정보를 식별할 수 있습니다. 이 데이터는 필수 트래픽 세부 정보를 캡처할 뿐만 아니라 타임스탬프, 요청된 패킷, IP 트래픽의 시작 및 종료 인터페이스도 기록하는 NetFlow 수집기를 통해 수집됩니다.

점점 더 정교해지는 공격에 직면하여 이벤트 스트리밍은 네트워크 트래픽에 대한 포괄적인 정보를 차세대 방화벽(NGFW), 침입 탐지 및 방지 시스템(IDS/IPS), 보안 웹 게이트웨이( SWG).

전반적으로 SIEM 로깅은 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 모두 제공하는 현대 사이버 보안의 중추적인 요소로 부상하고 있습니다. 그러나 일반 로그 관리와 SIEM의 차이점을 염두에 두는 것이 중요합니다.

SIEM과 로그 관리: 주요 차이점

로그는 SIEM 기능의 중추를 형성하지만 SIEM 프로세스와 로그 관리 프로세스 간에는 중요한 차이점이 있습니다. 로그 관리에는 다양한 채널에서 발생하는 로그 데이터를 체계적으로 수집, 저장, 분석하는 작업이 포함됩니다. 이 프로세스는 모든 로그 데이터에 대한 중앙 집중식 관점을 제공하며 규정 준수, 시스템 문제 해결 및 운영 효율성과 같은 목적으로 주로 사용됩니다. 그러나 로그 관리 시스템은 본질적으로 로그 데이터에 대한 분석을 수행하지 않습니다. 오히려 이 정보를 해석하고 잠재적인 위협의 유효성을 판단하는 것은 보안 분석가의 몫입니다.

SIEM은 이벤트 로그를 사용자, 자산, 위협 및 취약점과 관련된 상황별 정보와 상호 참조하여 이 프로세스를 한 단계 더 발전시킵니다. 이는 위협 식별을 위한 다양한 알고리즘과 기술을 통해 달성됩니다.
  • 이벤트 상관 여기에는 정교한 알고리즘을 사용하여 보안 이벤트를 분석하고, 잠재적 위협을 나타내는 패턴이나 관계를 식별하고, 실시간 경고를 생성하는 작업이 포함됩니다.

  • 사용자 및 엔티티 행동 분석 (UEBA) 사용자 및 네트워크와 관련된 일반적인 활동의 기준을 설정하기 위해 기계 학습 알고리즘을 사용합니다. 이 기준선에서 벗어나면 잠재적인 보안 위협으로 표시되어 복잡한 위협 식별과 측면 이동 감지가 가능해집니다.

  • SOAR(보안 오케스트레이션 및 자동화 대응) SIEM 도구를 사용하면 위협에 자동으로 대응할 수 있으므로 보안 기술자가 경고를 검토할 때까지 기다릴 필요가 없습니다. 이 자동화는 사고 대응을 간소화하며 SIEM의 필수 구성 요소입니다.

  • 브라우저 포렌식 및 네트워크 데이터 분석 SIEM의 고급 위협 탐지 기능을 활용하여 악의적인 내부자를 식별합니다. 여기에는 잠재적인 사이버 공격 계획을 밝히기 위해 브라우저 법의학, 네트워크 데이터 및 이벤트 로그를 검사하는 작업이 포함됩니다.

우발적인 내부자 공격

각 구성 요소를 실제로 적용할 수 있는 방법의 예는 우발적인 내부 공격입니다.

이러한 공격은 개인이 공격 중에 외부 악의적인 행위자의 공격을 의도치 않게 지원할 때 발생합니다. 예를 들어 직원이 방화벽을 잘못 구성하면 조직이 더 큰 취약성에 노출될 수 있습니다. 보안 구성의 중요성을 인식한 SIEM 시스템은 변경이 이루어질 때마다 이벤트를 생성할 수 있습니다. 그런 다음 이 이벤트는 철저한 조사를 위해 보안 분석가에게 전달되어 변경이 의도적이고 올바르게 구현되었는지 확인함으로써 의도하지 않은 내부 활동으로 인한 잠재적 위반으로부터 조직을 강화합니다.

완전한 계정 탈취의 경우, UEBA는 계정이 일반적인 패턴을 벗어나 시스템에 액세스하거나, 여러 활성 세션을 유지하거나, 루트 액세스를 변경하는 등 의심스러운 활동을 탐지할 수 있습니다. 위협 행위자가 권한 상승을 시도하는 경우 SIEM 시스템은 이 정보를 보안 팀에 즉시 에스컬레이션하여 잠재적인 보안 위협에 신속하고 효과적으로 대응할 수 있도록 합니다.

SIEM 로깅 모범 사례

SIEM은 조직의 사이버 보안 전략에서 중추적인 역할을 하지만 이를 구현하려면 해당 소프트웨어의 핵심인 로그 및 상관 관계 규칙에 대한 능숙한 접근 방식이 필요합니다.

#1. 개념 증명을 통해 요구 사항을 선택하세요.

새로운 SIEM 도구를 시험해 볼 때 개념 증명은 테스트 기반을 제공합니다. PoC 단계에서는 로그를 SIEM 시스템으로 직접 전달하여 특정 요구 사항에 따라 데이터를 정규화하는 솔루션의 능력을 측정하는 것이 중요합니다. 이 프로세스는 이벤트 뷰어 내 비표준 디렉토리의 이벤트를 통합하여 강화할 수 있습니다.

이 POC에서는 에이전트 기반 로그 수집이 귀하에게 가장 적합한지 여부를 설정할 수 있습니다. WAN(Wide Area Network) 및 방화벽을 통해 로그를 수집하려는 경우 로그 수집용 에이전트를 사용하면 서버 CPU 사용률을 줄이는 데 도움이 될 수 있습니다. 반면, 에이전트 없는 수집은 소프트웨어 설치 요구를 완화하고 유지 관리 비용을 낮출 수 있습니다.

#2. 올바른 방법으로 올바른 로그 수집

SIEM 시스템이 애플리케이션, 장치, 서버 및 사용자를 포함한 모든 관련 소스로부터 실시간으로 데이터를 수집, 집계 및 분석하는지 확인하세요. 데이터는 SIEM 용량의 핵심 구성 요소이지만 조직의 모든 측면을 포괄함으로써 이를 더욱 지원할 수 있습니다.

#삼. 보안 엔드포인트 로그

워크스테이션의 전원이 꺼지거나 랩톱이 원격으로 사용되는 경우와 같이 시스템이 네트워크에서 간헐적으로 연결이 끊어지는 경우 엔드포인트 로그가 계속해서 변경되면서 자주 발생하는 장애물이 있습니다. 게다가 엔드포인트 로그 수집에 대한 관리 부담으로 인해 복잡성이 더욱 가중됩니다. 이 문제를 해결하기 위해 Windows 이벤트 로그 전달을 사용하면 기본 Windows 운영 체제 내에서 본질적으로 사용 가능하므로 에이전트나 추가 기능을 설치할 필요 없이 중앙 집중식 시스템을 전송할 수 있습니다.

엔드포인트 로그에 대한 Stellar Cyber의 접근 방식은 EDR(엔드포인트 탐지 및 대응)을 포함하여 다양한 범위의 엔드포인트 로그를 지원합니다. 다양한 EDR 제품의 특정 하위 집합에 다양한 경고 경로를 적용함으로써 엔드포인트 로그 정보를 정확하고 정밀하게 정리하는 것이 더욱 가능해졌습니다.

#4. PowerShell을 주시하세요

이제 Windows 7부터 모든 Windows 인스턴스에 널리 사용되는 PowerShell은 공격자에게 유명한 도구가 되었습니다. 그러나 기본적으로 PowerShell은 어떠한 활동도 기록하지 않는다는 점에 유의해야 합니다. 이는 명시적으로 활성화되어야 합니다.

로깅 옵션 중 하나는 변수 초기화 및 명령 호출을 포함하여 파이프라인에 대한 자세한 실행 정보를 제공하는 모듈 로깅입니다. 이와 대조적으로 스크립트 블록 로깅은 스크립트 또는 코드 블록 내에서 실행되는 경우에도 모든 PowerShell 활동을 포괄적으로 모니터링합니다. 정확한 위협 및 행동 데이터를 생성하려면 이 두 가지를 모두 고려해야 합니다.

#5. Sysmon을 활용하세요

이벤트 ID는 모든 의심스러운 작업에 대한 추가 컨텍스트를 제공하는 데 필수적입니다. Microsoft Sysmon은 프로세스 생성, 네트워크 연결, 파일 해시 등 심층적인 이벤트 정보를 제공합니다. 적절하게 상호 연관되면 안티바이러스와 방화벽을 회피할 수 있는 파일 없는 맬웨어를 탐지하는 데 도움이 될 수 있습니다.

#6. 경고 및 대응

기계 학습이 SIEM 도구에 부여하는 분석 능력에도 불구하고 전체 보안의 더 넓은 범위에서 이를 맥락화하는 것이 중요합니다. 가장 중요한 것은 보안 분석가입니다. 사고 대응 계획은 모든 이해관계자에게 명확한 지침을 제공하여 유연하고 효과적인 팀워크를 가능하게 합니다.

계획에서는 사고 처리를 담당하는 주요 책임자로 고위 리더를 임명해야 합니다. 이 개인은 사고 처리 프로세스에 관련된 다른 사람에게 권한을 위임할 수 있지만 정책에서는 사고 대응에 대한 주요 책임이 있는 특정 직책을 명시적으로 지정해야 합니다.

거기에서 사고 대응 팀으로 귀결됩니다. 대규모 글로벌 기업의 경우, 각각 특정 지역을 전담하고 전담 직원으로 구성된 여러 회사가 있을 수 있습니다. 반면, 소규모 조직에서는 조직의 다양한 부분의 구성원을 시간제로 활용하는 단일 중앙 집중식 팀을 선택할 수 있습니다. 일부 조직에서는 사고 대응 노력의 특정 또는 전체 측면을 아웃소싱하기로 결정할 수도 있습니다.

모든 팀의 협력을 유지하는 것은 성숙한 사고 대응의 기초가 되는 플레이북입니다. 각 보안 사고의 고유한 특성에도 불구하고 대다수는 표준 활동 패턴을 고수하는 경향이 있으므로 표준화된 대응이 매우 유익합니다. 이러한 일이 발생하면 사고 대응 의사소통 계획은 당국이 개입해야 하는 시기를 포함하여 활성 사고 중에 다양한 그룹이 의사소통하는 방법을 간략하게 설명합니다.

5. 데이터 상관 규칙 정의 및 개선

SIEM 상관 관계 규칙은 이상 현상, 잠재적인 보안 약점 또는 사이버 공격을 암시할 수 있는 일련의 이벤트를 나타내는 시스템에 대한 지침 역할을 합니다. 이벤트 "x"와 "y" 또는 "x", "y" 및 "z"가 함께 발생하는 등 특정 조건이 충족되면 관리자에게 알림을 트리거합니다. 평범해 보이는 활동을 기록하는 방대한 양의 로그를 고려할 때 잘 설계된 SIEM 상관관계 규칙은 잠재적인 사이버 공격을 나타내는 노이즈를 선별하고 이벤트 시퀀스를 정확히 찾아내는 데 매우 중요합니다.

모든 이벤트 모니터링 알고리즘과 마찬가지로 SIEM 상관 관계 규칙은 오탐지를 생성할 가능성이 있습니다. 과도한 오탐은 보안 관리자의 시간과 에너지를 낭비할 수 있지만 제대로 작동하는 SIEM에서 오탐을 0으로 달성하는 것은 비현실적입니다. 따라서 SIEM 상관 관계 규칙을 구성할 때 잘못된 긍정 경고를 최소화하는 것과 사이버 공격을 나타내는 잠재적인 이상 현상이 간과되지 않도록 하는 것 사이에서 균형을 유지하는 것이 중요합니다. 목표는 규칙 설정을 최적화하여 위협 탐지의 정확성을 높이는 동시에 오탐으로 인한 불필요한 방해를 방지하는 것입니다.

Stellar Cyber를 통한 차세대 SIEM 및 로그 관리

Stellar Cyber의 플랫폼은 Next-Gen SIEM을 고유 기능으로 통합하여 NDR, UEBA, Sandbox, TIP 등을 포함한 여러 도구를 단일 플랫폼으로 통합하여 통합 솔루션을 제공합니다. 이러한 통합을 통해 운영이 응집력 있고 액세스 가능한 대시보드로 간소화되어 자본 비용이 크게 절감됩니다. 당사의 SIEM 로그 관리는 팀이 위협보다 앞서 나갈 수 있도록 자동화를 통해 구동되며, Next Gen SIEM의 설계는 팀이 최신 공격에 효과적으로 대처할 수 있도록 지원합니다. 자세한 내용을 알아보려면 데모를 예약하세요. 차세대 SIEM 플랫폼.

너무 좋은 소리야
사실일까?
직접 보세요!

위쪽으로 스크롤