SIEM 로깅: 개요 및 모범 사례

  • 주요 집 약 :
  • 무엇인가 SIEM 로깅 모범 사례는 무엇인가요?
    중요 시스템의 로그를 수집하고, 형식을 정규화하고, 중앙에서 가시성을 보장합니다.
  • 조직이 양보다 품질을 우선시해야 하는 이유는 무엇입니까?
    관련성이 높고 충실도가 높은 로그는 노이즈를 줄이고 위협 탐지 정확도를 높입니다.
  • 원목 보존에 대한 주요 고려 사항은 무엇입니까?
    규정 준수 의무, 저장 효율성 및 법의학적 요구 사항.
  • 로그 강화가 중요한 이유는 무엇입니까?
    원시 데이터에 맥락을 추가하여 탐지 및 조사의 효과를 높입니다.
  • 일반적인 로깅 실수는 무엇입니까?
    정규화 없이 과도하게 수집하고, 중요한 출처를 무시하며, 보존 정책이 취약합니다.
  • Stellar Cyber는 어떻게 최적화하나요? SIEM 벌채 반출?
    Interflow™를 사용하여 메타데이터로 로그를 풍부하게 만들고 이를 중앙 집중식 데이터 레이크에 효율적으로 저장합니다.

보안 정보 및 이벤트 관리(SIEM보안 관리 도구(CMS)는 조직 내 수천 개의 엔드포인트, 서버 및 애플리케이션 주변에서 발생하는 보안 정보를 중앙 집중화하는 핵심적인 사이버 보안 도구입니다. 최종 사용자와 장치가 모든 애플리케이션 접점에서 상호 작용할 때 로그 형태로 디지털 흔적을 남깁니다. 이러한 파일은 전통적으로 버그 수정 및 품질 관리에 중요한 역할을 해왔습니다. 왜냐하면 오류 정보를 원천적으로 제공하기 때문입니다.

하지만 2005년에 보안 전문가들은 이러한 작은 파일들이 지닌 진정한 잠재력을 깨닫기 시작했습니다. 이 파일들은 다양한 실시간 데이터를 제공하며, 이 데이터는 보안 시스템에 활용될 수 있습니다. SIEM 이러한 IT 인프라를 모니터링하는 로깅이 그 예입니다. 그 이후로 보안 전문가들은 위협 가시성과 이벤트 로그 볼륨 간의 균형을 신중하게 고려해 왔습니다. 이 글에서는 몇 가지 모범 사례를 다룹니다. SIEM 로그 관리 – 이를 통해 보안 도구가 잠재력을 최대한 발휘할 수 있습니다.

Next-Gen-Datasheet-pdf.webp

다음 세대 SIEM

스텔라 사이버 차세대 SIEM스텔라 사이버의 핵심 구성 요소로서 Open XDR 플랫폼...

데이터 시트 다운로드
데모-이미지.webp

AI 기반 보안을 실제로 경험해 보세요!

즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!

데모 요청

SIEM 사항

주요 의미 SIEM 로그 관리의 핵심은 방대한 양의 로그를 효율적으로 분석하여 보안 분석가가 중요한 위협에 집중할 수 있도록 하는 능력에 있습니다. 또한, SIEM 시스템은 이기종 기업 환경의 데이터를 표준화하여 분석을 간소화하고, 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 제공하며, 잠재적인 보안 위협이 감지되면 심각도에 따라 우선순위가 지정된 자동 경고를 전송하고, 사고 대응 및 포렌식 조사에 필수적인 상세 기록을 유지합니다. 요컨대, SIEM 로그 관리는 복잡한 현대 IT 환경에서 강력하고 신속한 보안 태세를 구축하고 유지하는 데 필수적입니다.

무엇인가 SIEM 로깅이란 무엇이며 어떻게 작동할까요?

실시간 보안을 제공하기 위해, SIEM 이 소프트웨어는 여러 소스에서 로그를 수집하여 중앙 로깅 시스템으로 전송합니다. '무엇인가요 SIEM? ' 답변하자면, 사용된 다양한 방법들을 더 깊이 파고들 수 있습니다. SIEM 정 자국이 나란히 나게하는 다듬질

에이전트 기반 로그 수집

이 로그 집계는 로컬 수준에서 발생합니다. 에이전트에는 로그 필터 및 정규화 기능이 포함되어 있어 리소스 효율성이 향상됩니다. 로그 데이터가 일괄적으로 압축된다는 사실 덕분에 에이전트는 일반적으로 네트워크 대역폭을 덜 차지합니다.

직접 연결

에이전트리스 로깅은 네트워크 프로토콜이나 API 호출을 통해 이루어지는 경우가 많으며, 이는 또 다른 형태의 로깅 방식입니다. SIEM 로깅은 다음을 감지합니다. SIEM 이 프로그램은 저장소에서 로그 파일(대부분 syslog 형식)을 직접 가져옵니다. 이러한 방식의 장점은 배포 용이성부터 소프트웨어 또는 버전 업데이트의 필요성 제거에 이르기까지 다양하며, 이는 종종 비용 절감에 기여합니다. SIEM 유지비.

이벤트 스트리밍 프로토콜

에이전트 기반 로깅 방식과 에이전트리스 로깅 방식은 모두 데이터 수집에 있어 고유한 방식을 제공하지만, 이벤트 기반 아키텍처는 이 프로세스를 강을 따라 이동하는 이벤트의 흐름으로 재구성합니다. 각 이벤트는 다운스트림 소비자가 캡처하고 추가 처리할 수 있습니다. 시스코에서 개발한 프로토콜인 NetFlow가 이러한 접근 방식의 한 예입니다. NetFlow는 인터페이스에 접속하거나 접속 해제될 때마다 IP 네트워크 트래픽을 수집합니다. NetFlow 데이터 분석을 통해 네트워크 관리자는 트래픽의 소스 및 목적지, 사용된 프로토콜, 통신 시간 등 중요한 정보를 파악할 수 있습니다. 이 데이터는 NetFlow 수집기를 통해 수집되는데, NetFlow 수집기는 필수 트래픽 세부 정보뿐만 아니라 타임스탬프, 요청된 패킷, IP 트래픽의 입출력 인터페이스까지 기록합니다.

점점 더 정교해지는 공격에 대응하여 이벤트 스트리밍은 차세대 방화벽(NGFW), 침입 탐지 및 방지 시스템(IDS/IPS), 보안 웹 게이트웨이(SWG)를 비롯한 보안 장치에 네트워크 트래픽에 대한 포괄적인 정보를 전달함으로써 중요한 역할을 합니다.

전반적으로, SIEM 로깅은 현대 사이버 보안에서 핵심적인 요소로 부상하고 있으며, 로그 데이터를 기반으로 실시간 및 과거 위협 분석을 모두 제공합니다. 그러나 일반적인 로그 관리와 전문적인 로그 관리의 차이점을 염두에 두는 것이 중요합니다. SIEM.

SIEM 로그 관리와의 주요 차이점

통나무는 뼈대를 이루지만 SIEM 역량 측면에서 볼 때, 프로세스 간에는 핵심적인 차이점이 있습니다. SIEM 그리고 로그 관리가 있습니다. 로그 관리는 다양한 채널에서 수집된 로그 데이터를 체계적으로 수집, 저장 및 분석하는 것을 포함합니다. 이 프로세스는 모든 로그 데이터에 대한 중앙 집중식 관점을 제공하며 주로 규정 준수, 시스템 문제 해결 및 운영 효율성 향상과 같은 목적으로 사용됩니다. 그러나 로그 관리 시스템 자체는 로그 데이터를 분석하지 않습니다. 보안 분석가가 이 정보를 해석하고 잠재적 위협의 타당성을 판단해야 합니다.

SIEM 이 프로세스는 사용자, 자산, 위협 및 취약점과 관련된 상황 정보를 이벤트 로그와 상호 참조하여 한 단계 더 나아갑니다. 이는 위협 식별을 위한 다양한 알고리즘과 기술을 통해 구현됩니다.

  • 이벤트 상관 여기에는 정교한 알고리즘을 사용하여 보안 이벤트를 분석하고, 잠재적 위협을 나타내는 패턴이나 관계를 식별하고, 실시간 경고를 생성하는 작업이 포함됩니다.

  • 사용자 및 개체 행동 분석UEBA) 사용자 및 네트워크와 관련된 일반적인 활동의 기준을 설정하기 위해 기계 학습 알고리즘을 사용합니다. 이 기준선에서 벗어나면 잠재적인 보안 위협으로 표시되어 복잡한 위협 식별과 측면 이동 감지가 가능해집니다.

  • SOAR(보안 오케스트레이션 및 자동화 대응) 수 SIEM 위협에 자동으로 대응하는 도구를 제공하여 보안 기술자가 경고를 검토할 때까지 기다릴 필요가 없습니다. 이러한 자동화는 사고 대응을 간소화하며 보안의 핵심 요소입니다. SIEM.

  • 브라우저 포렌식 및 네트워크 데이터 분석 활용 SIEM내부자의 악의적인 행위를 식별하기 위한 고급 위협 탐지 기능을 갖추고 있습니다. 이를 위해 브라우저 포렌식, 네트워크 데이터 및 이벤트 로그를 분석하여 잠재적인 사이버 공격 계획을 밝혀냅니다.

우발적인 내부자 공격

각 구성 요소를 실제로 적용할 수 있는 방법의 예는 우발적인 내부 공격입니다.

이러한 공격은 개인이 의도치 않게 외부 악의적 공격자가 공격을 진행하는 데 도움을 줄 때 발생합니다. 예를 들어, 직원이 방화벽을 잘못 구성하면 조직의 취약성이 증가할 수 있습니다. 보안 구성의 중요성을 인식하여, SIEM 시스템은 변경 사항이 발생할 때마다 이벤트를 생성할 수 있습니다. 이 이벤트는 보안 분석가에게 전달되어 철저한 검토를 거치게 되며, 변경 사항이 의도적이고 올바르게 구현되었는지 확인하여 내부자의 실수로 인한 잠재적 침해로부터 조직을 보호합니다.

계정 탈취의 경우, UEBA 계정이 평소와 다른 방식으로 시스템에 접근하거나, 여러 개의 활성 세션을 유지하거나, 루트 액세스 권한을 변경하는 등의 의심스러운 활동을 감지할 수 있습니다. 위협 행위자가 권한 상승을 시도하는 경우, SIEM 이 시스템은 해당 정보를 보안 팀에 즉시 전달하여 잠재적인 보안 위협에 신속하고 효과적으로 대응할 수 있도록 합니다.

SIEM 로깅 모범 사례

SIEM 이러한 소프트웨어는 조직의 사이버 보안 전략에서 중추적인 역할을 하지만, 이를 구현하려면 소프트웨어의 핵심인 로그 및 상관 관계 규칙에 대한 전문적인 접근 방식이 필요합니다.

#1. 개념 증명을 통해 요구 사항을 선택하세요.

새로운 것을 시도할 때 SIEM 이 도구와 개념 증명(PoC)은 테스트 환경을 제공합니다. PoC 단계에서는 로그를 직접 전달하는 것이 매우 중요합니다. SIEM 이 시스템은 특정 요구 사항에 따라 데이터를 정규화하는 솔루션의 능력을 측정합니다. 이 프로세스는 이벤트 뷰어에 비표준 디렉터리의 이벤트를 통합함으로써 강화될 수 있습니다.

이 POC에서는 에이전트 기반 로그 수집이 귀사에 가장 적합한지 확인할 수 있습니다. 광역 네트워크(WAN)와 방화벽을 통해 로그를 수집하려는 경우, 에이전트를 사용하여 로그를 수집하면 서버 CPU 사용률을 줄이는 데 도움이 될 수 있습니다. 반면, 에이전트를 사용하지 않는 로그 수집은 소프트웨어 설치 부담을 덜어주고 유지 관리 비용도 절감할 수 있습니다.

#2. 올바른 방법으로 올바른 로그 수집

해당 SIEM 이 시스템은 애플리케이션, 장치, 서버 및 사용자를 포함한 모든 관련 소스에서 실시간으로 데이터를 수집, 집계 및 분석합니다. 데이터는 매우 중요한 구성 요소입니다. SIEM 역량을 강화하려면 조직의 모든 측면을 포괄하도록 하는 것이 중요합니다.

#삼. 보안 엔드포인트 로그

엔드포인트 로그에서 자주 마주치는 문제는 워크스테이션 전원이 꺼지거나 노트북을 원격으로 사용하는 경우처럼 시스템이 네트워크에서 간헐적으로 연결이 끊어질 때 로그가 지속적으로 변경된다는 것입니다. 더욱이, 엔드포인트 로그 수집에 따른 관리 부담은 복잡성을 가중시킵니다. 이러한 문제를 해결하기 위해 Windows 이벤트 로그 전달 기능을 사용하면 에이전트나 추가 기능을 설치할 필요 없이 중앙 집중식 시스템을 전송할 수 있습니다. 이 기능은 기본 Windows 운영 체제에 기본적으로 내장되어 있기 때문입니다.

스텔라 사이버(Stellar Cyber)의 엔드포인트 로그 접근 방식은 엔드포인트 탐지 및 대응(EDR)을 포함한 다양한 엔드포인트 로그를 지원합니다. 다양한 EDR 제품의 특정 하위 집합에 대해 서로 다른 경고 경로를 적용함으로써 엔드포인트 로그 정보를 정확하고 정밀하게 정리할 수 있습니다.

#4. PowerShell을 주시하세요

이제 Windows 7부터 모든 Windows 인스턴스에 널리 사용되는 PowerShell은 공격자에게 유명한 도구가 되었습니다. 그러나 기본적으로 PowerShell은 어떠한 활동도 기록하지 않는다는 점에 유의해야 합니다. 이는 명시적으로 활성화되어야 합니다.

로깅 옵션 중 하나는 모듈 로깅으로, 변수 초기화 및 명령 호출을 포함하여 파이프라인에 대한 자세한 실행 정보를 제공합니다. 반면, 스크립트 블록 로깅은 스크립트 또는 코드 블록 내에서 실행되는 경우에도 모든 PowerShell 활동을 포괄적으로 모니터링합니다. 정확한 위협 및 동작 데이터를 생성하려면 이 두 가지를 모두 고려해야 합니다.

#5. Sysmon을 활용하세요

이벤트 ID는 모든 의심스러운 작업에 대한 추가 컨텍스트를 제공하는 데 필수적입니다. Microsoft Sysmon은 프로세스 생성, 네트워크 연결, 파일 해시 등 심층적인 이벤트 정보를 제공합니다. 적절하게 상호 연관되면 안티바이러스와 방화벽을 회피할 수 있는 파일 없는 맬웨어를 탐지하는 데 도움이 될 수 있습니다.

#6. 경고 및 대응

머신러닝이 제공하는 분석 능력에도 불구하고 SIEM 도구를 사용할 때는 맥락에 맞춰 설명하는 것이 매우 중요합니다.
전반적인 보안의 범위를 더욱 넓혀야 합니다. 보안 분석가가 핵심입니다. 사고 대응 계획은 모든 이해관계자에게 명확한 지침을 제공하여 유연하고 효과적인 팀워크를 가능하게 합니다.

계획에는 사고 처리의 주요 책임자로 고위 리더를 지정해야 합니다. 이 담당자는 사고 처리 과정에 참여하는 다른 사람에게 권한을 위임할 수 있지만, 정책에는 사고 대응에 대한 주요 책임을 지는 특정 직책을 명시적으로 명시해야 합니다.

여기서부터는 사고 대응팀이 구성됩니다. 대규모 글로벌 기업의 경우, 각 팀이 특정 지역을 전담하고 전담 인력으로 구성될 수 있습니다. 반면, 소규모 기업은 단일 중앙 집중형 팀을 구성하여 조직 내 다양한 ​​부서의 구성원을 파트타임으로 활용할 수 있습니다. 일부 기업은 사고 대응 활동의 일부 또는 전체를 아웃소싱하기로 결정할 수도 있습니다.

모든 팀의 협력을 유지하는 것은 성숙한 사고 대응의 기반이 되는 플레이북과 같습니다. 각 보안 사고의 고유한 특성에도 불구하고, 대부분의 사고는 표준 활동 패턴을 고수하는 경향이 있어 표준화된 대응이 매우 효과적입니다. 이러한 상황에서 사고 대응 커뮤니케이션 계획은 사고 발생 시 각 그룹이 어떻게 소통하는지, 특히 관계 당국의 개입이 필요한 시점을 명시합니다.

5. 데이터 상관 규칙 정의 및 개선

A SIEM 상관관계 규칙은 시스템에 대한 지침 역할을 하며, 이상 징후, 잠재적인 보안 취약점 또는 사이버 공격을 시사할 수 있는 일련의 이벤트를 나타냅니다. 특정 조건(예: 이벤트 "x"와 "y"의 동시 발생 또는 "x", "y" 및 "z"의 동시 발생)이 충족되면 관리자에게 알림이 전송됩니다. 겉보기에는 평범해 보이는 활동을 기록하는 방대한 양의 로그를 고려할 때, 잘 설계된 상관관계 규칙은 매우 중요합니다. SIEM 상관관계 규칙은 수많은 정보 속에서 잠재적인 사이버 공격을 시사하는 일련의 사건들을 정확히 찾아내는 데 매우 중요합니다.

SIEM 상관관계 규칙은 다른 이벤트 모니터링 알고리즘과 마찬가지로 오탐을 발생시킬 가능성이 있습니다. 과도한 오탐은 보안 관리자의 시간과 노력을 낭비하게 하지만, 제대로 작동하는 시스템에서 오탐을 0으로 줄이면 보안 관리자의 시간과 노력을 절약할 수 있습니다. SIEM 비현실적입니다. 따라서 구성할 때 SIEM 상관관계 규칙을 설정할 때, 오탐 경고를 최소화하는 것과 사이버 공격을 암시하는 잠재적 이상 징후를 놓치지 않는 것 사이에서 균형을 맞추는 것이 중요합니다. 목표는 오탐으로 인한 불필요한 혼란을 방지하면서 위협 탐지 정확도를 높이도록 규칙 설정을 최적화하는 것입니다.

차세대 SIEM Stellar Cyber를 이용한 로그 관리

Stellar Cyber의 플랫폼은 차세대 기술을 통합합니다. SIEM NDR을 포함한 여러 도구를 통합하여 통일된 솔루션을 제공하는 고유한 기능입니다. UEBASandbox, TIP 등을 포함한 다양한 기능을 단일 플랫폼으로 통합합니다. 이러한 통합을 통해 운영을 효율적이고 접근성이 뛰어난 대시보드에서 관리할 수 있어 자본 비용을 크게 절감할 수 있습니다. SIEM 로그 관리는 자동화 기능을 통해 팀이 위협에 앞서 나갈 수 있도록 지원하며, 차세대 디자인은 SIEM 팀이 최신 공격에 효과적으로 대응할 수 있도록 지원합니다. 더 자세히 알아보시려면 데모를 예약해 주세요. 차세대 SIEM 플랫폼.

너무 좋은 소리야
사실일까?
직접 보세요!

데모 신청
위쪽으로 스크롤
뉴스 레터 신청