SIEM vs SOC그들의 각기 다른 역할을 이해하기
보안정보 및 이벤트 관리(SIEM보안 운영 센터(Security Operations Center, SOC)는 IT 인프라에 연결되어 애플리케이션과 디바이스에서 생성되는 보안 및 로그 데이터를 거의 실시간으로 모니터링하는 소프트웨어 플랫폼입니다.SOC하지만, )는 조직 전체의 보안 문제를 해결하기 위해 공동으로 노력하는 중앙 집중식 팀입니다. SOC 조직의 보안 태세를 지속적으로 모니터링하고 개선하는 동시에 사이버 보안 사고를 탐지, 분석 및 예방하는 책임을 맡고 있습니다.
DaVinci에는 SIEM 이는 거의 항상 필수적인 구성 요소입니다. SOC두 분야의 역량은 극명하게 다릅니다. 여기에 더해, 다음과 같은 요소들이 존재하여 상황을 더욱 복잡하게 만듭니다. SOC 서비스로서 (SOC(aaS). 이 글에서는 두 분야의 차이점을 살펴보겠습니다. SIEM SOC그리고 각각이 포괄적인 보안 전략에서 어떻게 서로를 보완할 수 있는지에 대해서도 논의합니다.
다음 세대 SIEM
스텔라 사이버 차세대 SIEM스텔라 사이버의 핵심 구성 요소로서 Open XDR 플랫폼...
AI 기반 보안을 실제로 경험해 보세요!
즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!
이것은 SOC의 역할은 무엇인가요?
보안 운영 센터로서, SOC주요 목적은 기업 방어망을 뚫고 들어오는 공격을 감시하고 대응하는 것입니다. 때로는 취약점 평가 및 사고 대응 훈련과 같은 광범위한 보안 유지 관리를 위한 원스톱 서비스 역할도 수행합니다. 이처럼 다양한 업무 범위 때문에 정확히 어떻게 활용해야 할지 상상하기 어려울 수 있습니다. SOC업무의 질과 팀 구조 및 최적화를 모니터링하고 개선하려는 어설픈 시도들.
내부 작동 방식을 밝히기 위해 SOC그 안에 있는 개별적인 역할들을 세분화하는 것이 유용합니다.
분류 전문가, 1단계
1계층 분석가는 조직의 원시 보안 데이터에 가장 가까이 있습니다. 이들의 운영적 초점에는 관련 보유 데이터로 알림을 검증, 평가 및 모니터링하는 것이 포함됩니다. 또한 거짓 양성에서 합법적인 알림을 골라내고, 고위험 이벤트를 식별하고, 중요도에 따라 인시던트의 우선순위를 정합니다.
사고 대응자, Tier 2
2계층 분석가는 1계층 대응자가 확대한 보안 사고를 처리합니다. 그들은 사고를 위협 인텔리전스와 알려진 침해 지표(IoC)와 비교하여 자세한 평가를 수행합니다. 그들의 역할에는 공격 범위와 영향을 받는 시스템을 평가하고, 1계층에서 원시 공격 데이터를 실행 가능한 인텔리전스로 변환하고, 봉쇄 및 복구 전략을 고안하는 것이 포함됩니다.
위협 사냥꾼, 3단계
3단계 분석가는 다음과 같습니다. SOC이 팀은 사고 대응팀이 보고한 주요 사건을 처리하는 가장 경험이 풍부한 구성원들로 이루어져 있습니다. 이들은 잠재적인 공격 경로를 파악하기 위해 취약점 평가 및 침투 테스트를 주도합니다. 주요 임무는 위협, 보안 허점 및 취약점을 사전에 식별하는 것입니다. 또한 보안 모니터링 도구 개선 사항을 제안하고 1단계 및 2단계 분석가가 수집한 중요 보안 경고 및 정보를 검토합니다.
SOC 매니저
SOC 관리자는 팀을 이끌며 기술적 지침을 제공하고 인력을 관리합니다. 이들의 책임에는 팀원 채용, 교육 및 평가, 프로세스 수립, 사건 보고서 평가, 위기 소통 계획 개발 등이 포함됩니다. 또한 관리자의 역할에는 다음과 같은 사항도 포함될 수 있습니다. SOC재무 관리를 담당하고, 보안 감사를 지원하며, 최고 정보 보안 책임자(CISO) 또는 이와 유사한 최고위 경영진에게 보고합니다.
상대적으로 작은 규모라는 점을 고려할 때 SOC그 구조에서 흔히 볼 수 있는 것은... SOC 서비스로 완전한 사내 팀을 위한 리소스가 반드시 필요하지 않은 조직에 제공됩니다.
의 역할은 무엇입니까? SIEM ~ 이내에 SOC?
SOC 분석가들은 매일 수만 건, 심지어 수십만 건의 보안 경고를 발생시키는 복잡한 네트워크 및 보안 아키텍처를 보호해야 하는 막중한 과제에 직면해 있습니다. 이처럼 엄청난 양의 경고를 관리하는 것은 많은 보안 팀의 역량을 넘어서는 일이며, 이는 큰 과제입니다. 경보 피로와 같은 주요 산업 과제에 대한 일관된 요인바로 이곳이 옳은 곳입니다. SIEM 이 솔루션은 매우 귀중한 가치를 지닐 수 있습니다.
SIEM 이러한 시스템은 1단계 및 2단계 시스템의 부담을 일부 덜어줍니다. SOC 분석가들은 여러 출처의 데이터를 통합하고 데이터 분석을 활용하여 가장 가능성이 높은 위협을 식별합니다. 방대한 양의 정보를 걸러냄으로써, SIEM 이러한 솔루션을 통해 분석가들은 시스템에 대한 실제 공격으로 이어질 가능성이 가장 높은 이벤트에 노력을 집중할 수 있습니다. 전단지에 포함된 링크에 대해 더 알아보기 SIEM 기본 원리입니다.
상용 도구와 예방적 통제를 통해 대부분의 저수준 대량 공격에 대응할 수 있지만, 위협 환경은 끊임없이 진화하고 있다는 점에 유의해야 합니다. 고도의 정교하고 표적화된 공격에 노출된 조직은 이러한 고도화된 위협에 대응할 수 있는 숙련된 인력을 확보해야 합니다. SIEM 이러한 솔루션은 전문가들의 전문성을 보완하여 복잡한 보안 문제를 효과적으로 파악하고 대응하는 데 필요한 데이터와 통찰력을 제공합니다.
SIEM vs SOC: 주요 차이점
A SOC 사이버보안팀은 조직 내에서 기업의 사이버보안 전략을 종합적으로 관리하는 전담 부서입니다. 여기에는 보안 사고 탐지, 분석 및 대응은 물론 예방 조치의 전반적인 조정 및 실행이 포함됩니다. 특히 규모가 큰 조직에서는 이러한 팀을 사이버보안팀(G팀)이라고 부르기도 합니다.SOC – 또는 글로벌 보안 운영 센터.
일상적인 기능들을 자세히 살펴보면 SOC 밸리 SIEM 이는 개별 보안 이벤트의 가시성을 높이는 데 사용되는 특정 도구입니다. 차이점을 명확히 보여주기 위해서입니다. SOC SIEM, 생각해 보세요 SOC 수사관 팀으로서, 그들의 SIEM 마치 보안 카메라 네트워크처럼 사건이 발생하는 즉시 기록합니다. 애플리케이션 로그와 데이터를 추적함으로써 다음과 같은 일이 가능합니다. SIEM 집계된 데이터와 자동화된 분석을 제공하여 수동 조사보다 훨씬 빠르게 보안 위협을 찾아낼 수 있습니다. SOC 이는 보다 광범위한 조직 보안 전략을 포괄합니다. SIEM 솔루션은 다음과 같은 기능을 지원하는 특수 도구입니다. SOC의 작업.
다음 표에서는 기능별 비교를 제공합니다.
SIEM | SOC | |
| 운영 초점 | 다양한 소스에서 데이터를 수집 및 연관시키고 사전 정의된 공급업체 또는 상관 관계 규칙을 기반으로 경고를 생성하고 보고 기능을 제공합니다. | 다양한 도구를 활용합니다(다음 포함). SIEM사이버 보안 사고를 종합적으로 탐지, 분석 및 대응하기 위해. |
| 위협 대응 기능 | 전통적 SIEM 시스템은 로그를 분석하고 경고를 생성하는 기능만 제공합니다. 더 고급 도구는 보다 상세한 위협 정보와 자동화된 대응 기능을 제공합니다. | 이벤트를 분석하고, 더 넓은 맥락에서 심각도를 평가하고, 이를 완화하기 위한 최선의 조치를 선택하여 경고에 수동으로 대응합니다. 그들은 또한 사고 후 복구 노력에 참여할 수도 있습니다. |
| 범위 | 보안 이벤트 관리 및 정보에만 집중하는 좁은 범위. | 공격 전후의 조직 보안 전반에 걸쳐 훨씬 더 넓은 범위를 차지합니다. |
| 비용 | 조직의 규모와 분석해야 하는 데이터의 양에 따라 상당한 비용이 발생할 수 있습니다. 설정하고 효과적으로 관리하려면 많은 전문 지식이 필요합니다. | 전담 팀을 구성하고 숙련된 보안 전문가를 유지하려면 높은 투자가 필요합니다. |
도전은 무엇인가 SOCs는 통합 시 얼굴을 드러냅니다. SIEM 시스템?
최상위 사양 통합 SIEM 일정 수준의 전문 지식이 필요합니다. 너무나 많은 조직들이 단순히 최고 사양의 도구에 막대한 비용을 투자했다가, 결국 여러 문제에 직면하고, 그로 인해 전체 시스템에 약점이 생기는 결과를 초래합니다. SOC.
로그 수요
SIEM 벌목은 핵심입니다. SIEM그 역량, 즉 원시 데이터를 의미 있는 통찰력으로 변환할 수 있게 해주는 핵심 비결은 바로 그것입니다. 하지만 그 방식은... SIEM 로그를 처리하는 도구는 수명 주기 동안 철저하게 관리되어야 합니다. 예를 들어, Windows 기반 시스템은 모든 이벤트를 기본적으로 로깅하지 않는다는 점을 고려해야 합니다. 이 운영 체제에서는 프로세스 및 명령줄 로깅, Windows 드라이버 프레임워크 로그, PowerShell 로그가 기본적으로 활성화되어 있지 않습니다.
하지만 아무런 조정 없이 이 모든 기능을 활성화하면 시스템에 과부하가 걸릴 수 있습니다. SIEM 본질적으로 쓸모없는 데이터로 가득 차 있습니다. 게다가 기본적으로 활성화된 Windows 로그는 유용하지만, 동시에 엄청난 양의 노이즈도 포함하고 있습니다. 로그 수집, 분석 및 필터링에는 인내심과 시간이 필요하며, 지속적인 재평가 또한 필수적입니다. 이러한 노력이 없다면, SOC 이러한 문제들을 해결하는 것은 훨씬 더 어렵습니다.
거짓 긍정 및 공격 실패
로그 관리 문제와 관련된 사항은 다음과 같습니다. SIEM 위협 식별에 대한 도구의 접근 방식. 높은 경고량은 완화 시간에 상당한 영향을 미칩니다. 결국, 만약 SOC 분석가들은 끝없이 쏟아지는 경고를 처리하느라 진땀을 빼고 있으며, 실제 보안 사고를 제때 발견할 가능성은 극히 낮아집니다. 이러한 오탐은 부적절한 구성으로 인해 대응 시간이 지연되는 여러 원인 중 하나일 뿐입니다. 또 다른 원인은 잘못 구성된 탐지 규칙입니다.
SIEM 보안 솔루션은 특정 유형의 공격, 예를 들어 이메일에 ZIP 파일이 첨부된 경우 등을 자동으로 탐지할 수 있습니다. 그러나 조직의 위협 탐지 기능 전체가 규칙 기반일 경우, 새롭거나 정교한 공격을 간과할 수 있으며, 공격자가 필요한 접근 권한을 획득하거나 권한을 확대하는 데에는 단 한 번의 실수만으로도 충분합니다.
잃어버린 맥락
주요 과제 SIEM 관리의 핵심은 로그 관리보다 데이터 수집을 우선시하는 데 있습니다.
많은 SIEM 구현 방식은 데이터 수집에 중점을 두지만 로그 보강을 소홀히 하는 경우가 많습니다. 이러한 접근 방식은 다음과 같은 의미를 갖습니다. SIEM수집된 데이터와 분석을 기반으로 알림을 생성할 수 있지만, 이러한 알림은 검증되지 않습니다. 결과적으로, 원시 데이터보다 잠재적으로 품질이 높고 맥락에 더 부합함에도 불구하고, SIEM 경고에는 여전히 오탐이 포함될 수 있습니다.
예를 들어 잠재적으로 의심스러운 도메인을 검토하는 분석가를 생각해 보세요. DNS 로그는 도메인 이름, 소스 및 대상 IP 헤더 정보를 제공할 수 있습니다. 그러나 이 제한된 데이터로 인해 도메인이 악성인지, 의심스러운지, 양성인지 판단하기가 어렵습니다. 추가적인 맥락과 풍부한 정보가 없으면 분석가의 판단은 본질적으로 추측일 뿐입니다.
결정하다 SIEM, SOC또는 둘 다 통합
모든 조직은 고유하지만, "어떤 조직을 선택해야 할까?"라는 질문에 대한 답을 찾는 데 도움이 되는 몇 가지 보편적인 요소와 접근 방식이 있습니다. SOC은 SIEM"둘 중 하나만 선택해야 할까요, 아니면 둘 다 선택해야 할까요?"라는 질문에 답하기가 더 쉽습니다. 하지만 먼저, 자사 조직의 보안 수준을 경쟁사와 비교하려는 생각을 버리는 것이 중요합니다. 물론 비교하고 싶은 마음은 충분히 이해하지만, 침해 사고가 발생했는데도 이를 감지하지 못했다면 사후 분석 보고서에서 "경쟁사들도 해당 보안 도구를 사용하지 않았다"라고 언급하는 것은 별 도움이 되지 않을 것입니다.
이 질문에 답하자면, 가장 먼저 고려해야 할 사항은 공격 표면입니다. 지적 재산부터 인사 데이터, 비즈니스 시스템에 이르기까지, 조직은 생각보다 훨씬 더 많은 취약 자산을 보유하고 있을 가능성이 높습니다. 오늘날 정보는 매우 귀중한 자산이므로, 비즈니스 데이터를 보호하는 것 또한 매우 중요합니다. 이것이 바로 핵심적인 이유입니다. SOC사이버보안은 거의 모든 분야에서 표준 관행이 되었습니다. 기존 IT 직원과 사이버보안을 분리함으로써, 오전 9시부터 오후 5시까지 근무하는 IT 지원팀으로는 제공할 수 없는 전담적이고 지속적인 보호가 가능해집니다. 이로써 한 가지 질문에 대한 답을 얻었습니다.
다른 하나는 투자할지 여부입니다. SIEM 도구이자 SOC – 결국 당신이 무엇을 하느냐에 달려 있습니다. SOC 보안팀은 조직의 안전을 유지하기 위해 필수적입니다. 기업의 위험도가 낮고 변동이 없으며 특정 규정 준수 의무가 없는 경우, 당분간 추가 보안 도구 도입 비용을 절감할 수 있습니다. 그러나 결제 정보, 이메일 주소와 같은 개인 정보, 의료 정보 등 고객 데이터를 처리하는 기업이라면 보안 도구 도입에 대해 심층적으로 검토해 볼 필요가 있습니다. SOC 효율적으로 작동해야 합니다.
왜 둘 다 보통 가장 좋은가
모든 조직은 고유하지만 공통적인 공격 방법이 존재한다는 것은 일부 접근 방식을 거의 보편적으로 적용하여 더 나은 보안 태세를 구축할 수 있음을 의미합니다. MITRE ATT&CK는 그러한 오픈 소스 프레임워크 중 하나입니다. 공격자 방법론을 모델링함으로써 조직은 프로세스와 제어에 공격자 우선 사고방식을 주입할 수 있습니다.
A SIEM 이 도구는 이러한 철학적 틀을 조직에 적용하는 가장 효율적이고 효과적인 방법 중 하나를 나타냅니다. 각 요소를 모델링함으로써 SIEM 특정 전술 및 기술에 대한 경고 규칙, 귀하의 SOC 규칙 세트가 실제로 무엇을 효과적으로 방지할 수 있는지에 대한 정확한 그림을 그릴 수 있습니다. 이러한 심층적인 이해를 통해 기존 적용 범위의 미묘한 차이를 설명할 수 있으며, 결과적으로 시간이 지남에 따라 적용 범위를 개선할 수 있습니다.
더 나아가, TTP 기반 알림을 통해 조직은 다음과 같은 이점을 누릴 수 있게 됩니다. SOC 자동화. 모든 관련 로그를 티켓으로 변환합니다. 기본적인 로그까지도요. SIEM 이러한 도구를 사용하면 해당 사건을 가장 적합한 담당자에게 자동으로 배정할 수 있습니다. SOC 팀은 구성원의 전문성과 가용성을 바탕으로 선정됩니다. 그러면 팀은 모든 관련 정보를 활용하여 추가적인 평가를 진행할 수 있습니다.
Stellar Cyber를 통해 사일로화된 툴링을 뛰어넘으세요
스텔라 사이버 SOC 자동화 개별 플랫폼의 한계를 뛰어넘습니다. Stellar Cyber의 확장 탐지 및 대응(Extended Detection and Response)은 단순히 로그만 살펴보는 것이 아니라,XDR이 플랫폼은 모든 환경과 애플리케이션에서 데이터 수집을 자동화합니다. 네트워크, 서버, VM, 엔드포인트 및 클라우드 인스턴스 전반에서 필요한 데이터를 지능적으로 수집함으로써 강력한 데이터 분석 엔진은 실제 위협 인텔리전스에 따라 사례들을 상호 연관시킬 수 있습니다. 이 모든 분석 결과는 단일 분석 플랫폼을 통해 제공되므로, SOC 분석가들이 한발 앞서 조사를 시작할 수 있도록.
Stellar Cyber는 완화 주도 형식으로 위협을 제시하므로 분석가는 그 어느 때보다 빠르게 근본 원인을 식별하고 위협을 분쇄할 수 있습니다. Stellar Cyber의 주요 기능을 살펴보세요 XDR 오늘 바로 고정된 규칙을 뛰어넘는 접근 방식을 알아보세요.
