SIEM 로깅: 개요 및 모범 사례

  • 주요 집 약 :
  • SIEM 로깅 모범 사례는 무엇입니까?
    중요 시스템의 로그를 수집하고, 형식을 정규화하고, 중앙에서 가시성을 보장합니다.
  • 조직이 양보다 품질을 우선시해야 하는 이유는 무엇입니까?
    관련성이 높고 충실도가 높은 로그는 노이즈를 줄이고 위협 탐지 정확도를 높입니다.
  • 원목 보존에 대한 주요 고려 사항은 무엇입니까?
    규정 준수 의무, 저장 효율성 및 법의학적 요구 사항.
  • 로그 강화가 중요한 이유는 무엇입니까?
    원시 데이터에 맥락을 추가하여 탐지 및 조사의 효과를 높입니다.
  • 일반적인 로깅 실수는 무엇입니까?
    정규화 없이 과도하게 수집하고, 중요한 출처를 무시하며, 보존 정책이 취약합니다.
  • Stellar Cyber는 SIEM 로깅을 어떻게 최적화합니까?
    Interflow™를 사용하여 메타데이터로 로그를 풍부하게 만들고 이를 중앙 집중식 데이터 레이크에 효율적으로 저장합니다.

보안 정보 및 이벤트 관리(SIEM)는 조직 내 수천 개의 엔드포인트, 서버 및 애플리케이션에 얽힌 보안 정보를 중앙에서 관리하는 핵심적인 사이버 보안 도구입니다. 최종 사용자와 기기가 모든 애플리케이션 터치포인트와 상호 작용할 때 로그 형태로 디지털 지문을 남깁니다. 이러한 파일은 전통적으로 버그 수정 및 품질 관리에 중요한 역할을 해왔습니다. 결국, 소스에서 직접 오류 정보를 제공하기 때문입니다.

그러나 2005년, 보안 전문가들은 이러한 작은 파일에 내재된 진정한 잠재력을 깨닫기 시작했습니다. 이러한 작은 파일은 IT 인프라를 모니터링하는 SIEM 로깅에 입력할 수 있는 실시간 데이터를 제공합니다. 그 이후로 보안 전문가들은 위협 가시성과 이벤트 로그 용량 간의 균형을 신중하게 조정해 왔습니다. 이 글에서는 보안 도구의 잠재력을 최대한 발휘할 수 있도록 SIEM 로그 관리에 대한 몇 가지 모범 사례를 다룹니다.

Next-Gen-Datasheet-pdf.webp

차세대 SIEM

Stellar Cyber ​​차세대 SIEM은 Stellar Cyber ​​Open XDR 플랫폼의 핵심 구성 요소입니다.

데이터 시트 다운로드
데모-이미지.webp

AI 기반 보안을 실제로 경험해 보세요!

즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!

데모 요청

SIEM이 중요한 이유

SIEM 로그 관리의 주요 중요성은 방대한 양의 로그를 효율적으로 분석하여 보안 분석가가 중요한 위협에 집중할 수 있도록 지원하는 능력에 있습니다. SIEM 시스템은 이기종 엔터프라이즈 환경의 데이터를 표준화하여 분석을 간소화하고, 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 제공하며, 잠재적 보안 위협이 감지되면 심각도에 따라 우선순위가 지정된 자동 알림을 전송하고, 사고 대응 및 포렌식 조사에 필수적인 상세 기록을 유지합니다. SIEM 로그 관리는 복잡한 현대 IT 환경에서 강력하고 대응력 있는 보안 태세를 구축하고 유지하는 데 필수적입니다.

SIEM 로깅이란 무엇이며 어떻게 작동합니까?

실시간 보안을 제공하기 위해 SIEM 소프트웨어는 여러 소스에서 로그를 수집하여 중앙 로깅 시스템으로 전송합니다. 와 함께 'SIEM이란 무엇입니까?' SIEM 툴링에서 사용하는 다양한 방법을 더 깊이 파고드는 것이 가능합니다.

에이전트 기반 로그 수집

이 로그 집계는 로컬 수준에서 발생합니다. 에이전트에는 로그 필터 및 정규화 기능이 포함되어 있어 리소스 효율성이 향상됩니다. 로그 데이터가 일괄적으로 압축된다는 사실 덕분에 에이전트는 일반적으로 네트워크 대역폭을 덜 차지합니다.

직접 연결

종종 네트워크 프로토콜이나 API 호출에 의해 촉진되는 에이전트 없는 로깅은 SIEM 프로그램이 스토리지에서 직접 로그 파일(종종 syslog 형식)을 검색하는 또 다른 형태의 SIEM 로깅입니다. 이점은 배포 용이성부터 소프트웨어 또는 버전 업데이트의 필요성 제거까지 다양합니다. 이 옵션은 종종 SIEM 유지 관리 비용 절감에 기여합니다.

이벤트 스트리밍 프로토콜

에이전트 기반 로깅 방식과 에이전트리스 로깅 방식은 모두 데이터 수집에 있어 고유한 방식을 제공하지만, 이벤트 기반 아키텍처는 이 프로세스를 강을 따라 이동하는 이벤트의 흐름으로 재구성합니다. 각 이벤트는 다운스트림 소비자가 캡처하고 추가 처리할 수 있습니다. 시스코에서 개발한 프로토콜인 NetFlow가 이러한 접근 방식의 한 예입니다. NetFlow는 인터페이스에 접속하거나 접속 해제될 때마다 IP 네트워크 트래픽을 수집합니다. NetFlow 데이터 분석을 통해 네트워크 관리자는 트래픽의 소스 및 목적지, 사용된 프로토콜, 통신 시간 등 중요한 정보를 파악할 수 있습니다. 이 데이터는 NetFlow 수집기를 통해 수집되는데, NetFlow 수집기는 필수 트래픽 세부 정보뿐만 아니라 타임스탬프, 요청된 패킷, IP 트래픽의 입출력 인터페이스까지 기록합니다.

점점 더 정교해지는 공격에 대응하여 이벤트 스트리밍은 차세대 방화벽(NGFW), 침입 탐지 및 방지 시스템(IDS/IPS), 보안 웹 게이트웨이(SWG)를 비롯한 보안 장치에 네트워크 트래픽에 대한 포괄적인 정보를 전달함으로써 중요한 역할을 합니다.

전반적으로 SIEM 로깅은 현대 사이버 보안의 핵심 요소로 부상하고 있으며, 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 제공합니다. 하지만 기존의 로그 관리와 SIEM의 차이점을 명심하는 것이 중요합니다.

SIEM과 로그 관리: 주요 차이점

로그가 SIEM 기능의 핵심을 이루지만, SIEM 프로세스와 로그 관리 프로세스 간에는 중요한 차이점이 있습니다. 로그 관리는 다양한 채널에서 수집된 로그 데이터를 체계적으로 수집, 저장 및 분석하는 것을 포함합니다. 이 프로세스는 모든 로그 데이터에 대한 중앙 집중식 관점을 제공하며, 주로 규정 준수, 시스템 문제 해결 및 운영 효율성과 같은 목적으로 사용됩니다. 그러나 로그 관리 시스템은 본질적으로 로그 데이터에 대한 분석을 수행하지 않습니다. 오히려 보안 분석가는 이 정보를 해석하고 잠재적 위협의 타당성을 판단해야 합니다.

SIEM은 이벤트 로그를 사용자, 자산, 위협 및 취약점과 관련된 상황 정보와 교차 참조함으로써 이 프로세스를 한 단계 더 발전시킵니다. 이는 위협 식별을 위한 다양한 알고리즘과 기술을 통해 달성됩니다.

  • 이벤트 상관 여기에는 정교한 알고리즘을 사용하여 보안 이벤트를 분석하고, 잠재적 위협을 나타내는 패턴이나 관계를 식별하고, 실시간 경고를 생성하는 작업이 포함됩니다.

  • 사용자 및 엔티티 행동 분석 (UEBA) 사용자 및 네트워크와 관련된 일반적인 활동의 기준을 설정하기 위해 기계 학습 알고리즘을 사용합니다. 이 기준선에서 벗어나면 잠재적인 보안 위협으로 표시되어 복잡한 위협 식별과 측면 이동 감지가 가능해집니다.

  • SOAR(보안 오케스트레이션 및 자동화 대응) SIEM 도구를 사용하면 위협에 자동으로 대응할 수 있으므로 보안 기술자가 경고를 검토할 때까지 기다릴 필요가 없습니다. 이 자동화는 사고 대응을 간소화하며 SIEM의 필수 구성 요소입니다.

  • 브라우저 포렌식 및 네트워크 데이터 분석 SIEM의 고급 위협 탐지 기능을 활용하여 악의적인 내부자를 식별합니다. 여기에는 잠재적인 사이버 공격 계획을 밝히기 위해 브라우저 법의학, 네트워크 데이터 및 이벤트 로그를 검사하는 작업이 포함됩니다.

우발적인 내부자 공격

각 구성 요소를 실제로 적용할 수 있는 방법의 예는 우발적인 내부 공격입니다.

이러한 공격은 개인이 공격 과정에서 의도치 않게 외부 악의적인 공격자의 활동을 지원할 때 발생합니다. 예를 들어, 직원이 방화벽을 잘못 구성하면 조직의 취약성이 커질 수 있습니다. 보안 구성의 중요성을 인지하고 있는 SIEM 시스템은 변경 사항이 발생할 때마다 이벤트를 생성할 수 있습니다. 이 이벤트는 보안 분석가에게 전달되어 변경 사항이 의도적이고 올바르게 구현되었는지 철저히 검토하고, 의도치 않은 내부자 행위로 인한 잠재적 침해로부터 조직을 보호합니다.

계정 탈취가 명백히 발생하는 경우, UEBA는 계정이 정상적인 패턴을 벗어나 시스템에 접근하거나, 여러 활성 세션을 유지하거나, 루트 접근 권한을 변경하는 등 의심스러운 활동을 탐지할 수 있도록 합니다. 위협 행위자가 권한 상승을 시도하는 경우, SIEM 시스템은 이 정보를 즉시 보안팀에 보고하여 잠재적 보안 위협에 신속하고 효과적으로 대응할 수 있도록 지원합니다.

SIEM 로깅 모범 사례

SIEM은 조직의 사이버 보안 전략에서 중추적인 역할을 하지만 이를 구현하려면 해당 소프트웨어의 핵심인 로그 및 상관 관계 규칙에 대한 능숙한 접근 방식이 필요합니다.

#1. 개념 증명을 통해 요구 사항을 선택하세요.

새로운 SIEM 도구를 시험해 볼 때, 개념 증명(PoC)은 테스트 환경을 제공합니다. 개념 증명 단계에서는 솔루션이 특정 요구 사항에 따라 데이터를 정규화하는 능력을 평가하기 위해 SIEM 시스템에 직접 로그를 전송하는 것이 중요합니다. 이벤트 뷰어에 비표준 디렉터리의 이벤트를 통합하면 이 프로세스를 더욱 강화할 수 있습니다.

이 POC에서는 에이전트 기반 로그 수집이 귀사에 가장 적합한지 확인할 수 있습니다. 광역 네트워크(WAN)와 방화벽을 통해 로그를 수집하려는 경우, 에이전트를 사용하여 로그를 수집하면 서버 CPU 사용률을 줄이는 데 도움이 될 수 있습니다. 반면, 에이전트를 사용하지 않는 로그 수집은 소프트웨어 설치 부담을 덜어주고 유지 관리 비용도 절감할 수 있습니다.

#2. 올바른 방법으로 올바른 로그 수집

SIEM 시스템이 애플리케이션, 장치, 서버 및 사용자를 포함한 모든 관련 소스로부터 실시간으로 데이터를 수집, 집계 및 분석하는지 확인하세요. 데이터는 SIEM 용량의 핵심 구성 요소이지만 조직의 모든 측면을 포괄함으로써 이를 더욱 지원할 수 있습니다.

#삼. 보안 엔드포인트 로그

엔드포인트 로그에서 자주 마주치는 문제는 워크스테이션 전원이 꺼지거나 노트북을 원격으로 사용하는 경우처럼 시스템이 네트워크에서 간헐적으로 연결이 끊어질 때 로그가 지속적으로 변경된다는 것입니다. 더욱이, 엔드포인트 로그 수집에 따른 관리 부담은 복잡성을 가중시킵니다. 이러한 문제를 해결하기 위해 Windows 이벤트 로그 전달 기능을 사용하면 에이전트나 추가 기능을 설치할 필요 없이 중앙 집중식 시스템을 전송할 수 있습니다. 이 기능은 기본 Windows 운영 체제에 기본적으로 내장되어 있기 때문입니다.

스텔라 사이버(Stellar Cyber)의 엔드포인트 로그 접근 방식은 엔드포인트 탐지 및 대응(EDR)을 포함한 다양한 엔드포인트 로그를 지원합니다. 다양한 EDR 제품의 특정 하위 집합에 대해 서로 다른 경고 경로를 적용함으로써 엔드포인트 로그 정보를 정확하고 정밀하게 정리할 수 있습니다.

#4. PowerShell을 주시하세요

이제 Windows 7부터 모든 Windows 인스턴스에 널리 사용되는 PowerShell은 공격자에게 유명한 도구가 되었습니다. 그러나 기본적으로 PowerShell은 어떠한 활동도 기록하지 않는다는 점에 유의해야 합니다. 이는 명시적으로 활성화되어야 합니다.

로깅 옵션 중 하나는 모듈 로깅으로, 변수 초기화 및 명령 호출을 포함하여 파이프라인에 대한 자세한 실행 정보를 제공합니다. 반면, 스크립트 블록 로깅은 스크립트 또는 코드 블록 내에서 실행되는 경우에도 모든 PowerShell 활동을 포괄적으로 모니터링합니다. 정확한 위협 및 동작 데이터를 생성하려면 이 두 가지를 모두 고려해야 합니다.

#5. Sysmon을 활용하세요

이벤트 ID는 모든 의심스러운 작업에 대한 추가 컨텍스트를 제공하는 데 필수적입니다. Microsoft Sysmon은 프로세스 생성, 네트워크 연결, 파일 해시 등 심층적인 이벤트 정보를 제공합니다. 적절하게 상호 연관되면 안티바이러스와 방화벽을 회피할 수 있는 파일 없는 맬웨어를 탐지하는 데 도움이 될 수 있습니다.

#6. 경고 및 대응

머신 러닝이 SIEM 도구에 부여하는 분석 능력에도 불구하고 이를 맥락화하는 것이 중요합니다.
전반적인 보안의 범위를 더욱 넓혀야 합니다. 보안 분석가가 핵심입니다. 사고 대응 계획은 모든 이해관계자에게 명확한 지침을 제공하여 유연하고 효과적인 팀워크를 가능하게 합니다.

계획에는 사고 처리의 주요 책임자로 고위 리더를 지정해야 합니다. 이 담당자는 사고 처리 과정에 참여하는 다른 사람에게 권한을 위임할 수 있지만, 정책에는 사고 대응에 대한 주요 책임을 지는 특정 직책을 명시적으로 명시해야 합니다.

여기서부터는 사고 대응팀이 구성됩니다. 대규모 글로벌 기업의 경우, 각 팀이 특정 지역을 전담하고 전담 인력으로 구성될 수 있습니다. 반면, 소규모 기업은 단일 중앙 집중형 팀을 구성하여 조직 내 다양한 ​​부서의 구성원을 파트타임으로 활용할 수 있습니다. 일부 기업은 사고 대응 활동의 일부 또는 전체를 아웃소싱하기로 결정할 수도 있습니다.

모든 팀의 협력을 유지하는 것은 성숙한 사고 대응의 기반이 되는 플레이북과 같습니다. 각 보안 사고의 고유한 특성에도 불구하고, 대부분의 사고는 표준 활동 패턴을 고수하는 경향이 있어 표준화된 대응이 매우 효과적입니다. 이러한 상황에서 사고 대응 커뮤니케이션 계획은 사고 발생 시 각 그룹이 어떻게 소통하는지, 특히 관계 당국의 개입이 필요한 시점을 명시합니다.

5. 데이터 상관 규칙 정의 및 개선

SIEM 상관관계 규칙은 시스템에 대한 지침 역할을 하며, 이상 징후, 잠재적 보안 취약점 또는 사이버 공격을 시사하는 일련의 이벤트를 나타냅니다. "x"와 "y" 이벤트 또는 "x", "y", "z" 이벤트가 동시에 발생하는 등 특정 조건이 충족될 때 관리자에게 알림을 보냅니다. 겉보기에 평범한 활동들을 기록하는 방대한 양의 로그를 고려할 때, 잘 설계된 SIEM 상관관계 규칙은 노이즈를 걸러내고 잠재적 사이버 공격을 시사하는 일련의 이벤트를 정확하게 파악하는 데 필수적입니다.

SIEM 상관관계 규칙은 다른 이벤트 모니터링 알고리즘과 마찬가지로 오탐(false positive)을 유발할 가능성이 있습니다. 과도한 오탐은 보안 관리자의 시간과 에너지를 낭비할 수 있지만, 제대로 작동하는 SIEM에서 오탐을 완전히 없애는 것은 비현실적입니다. 따라서 SIEM 상관관계 규칙을 구성할 때는 오탐 경고를 최소화하는 것과 사이버 공격을 시사하는 잠재적 이상 징후를 간과하지 않는 것 사이의 균형을 맞추는 것이 중요합니다. 목표는 위협 탐지의 정확도를 높이는 동시에 오탐으로 인한 불필요한 방해를 방지하도록 규칙 설정을 최적화하는 것입니다.

Stellar Cyber를 통한 차세대 SIEM 및 로그 관리

Stellar Cyber의 플랫폼은 Next-Gen SIEM을 고유 기능으로 통합하여 NDR, UEBA, Sandbox, TIP 등을 포함한 여러 도구를 단일 플랫폼으로 통합하여 통합 솔루션을 제공합니다. 이러한 통합을 통해 운영이 응집력 있고 액세스 가능한 대시보드로 간소화되어 자본 비용이 크게 절감됩니다. 당사의 SIEM 로그 관리는 팀이 위협보다 앞서 나갈 수 있도록 자동화를 통해 구동되며, Next Gen SIEM의 설계는 팀이 최신 공격에 효과적으로 대처할 수 있도록 지원합니다. 자세한 내용을 알아보려면 데모를 예약하세요. 차세대 SIEM 플랫폼.

너무 좋은 소리야
사실일까?
직접 보세요!

데모 신청
위쪽으로 스크롤
뉴스 레터 신청