무엇인가 SIEM정의, 구성 요소, 기능 및 아키텍처

  • 주요 집 약 :
  • SIEM 그리고 왜 중요한가?
    SIEM 위협을 탐지하고, 규정을 준수하며, 사고 대응을 지원하기 위해 로그를 수집하고 분석합니다.
  • 핵심 구성 요소는 무엇입니까? SIEM?
    로그 수집, 상관관계 규칙, 위협 인텔리전스, 대시보드 및 알림 엔진.
  • 어떻게 SIEM 최근 몇 년 동안 진화했나요?
    정적 로그 관리부터 자동 대응을 통한 동적 AI 기반 위협 탐지까지.
  • 레거시 시스템의 일반적인 문제점은 무엇인가요? SIEMs?
    컨텍스트가 부족하여 복잡성이 높고 확장성이 부족하며 탐지 정확도가 낮습니다.
  • 스텔라 사이버는 어떻게 현대화하는가? SIEM?
    삽입하여 SIEM 으로 Open XDR Interflow™, 내장 SOAR 및 AI 기반 상관 분석 기능을 갖추고 있습니다.

사이버 위협은 새로운 창조와 배치의 시대로 접어들었습니다. 국제 갈등이나 재정적 이익에 의해 동기가 부여되든, 그룹이 중요한 인프라를 손상시킬 수 있는 능력은 그 어느 때보다 커졌습니다. 외부 경제적 압박과 국제적 긴장이 사이버 공격 위험을 증가시키는 유일한 요인은 아닙니다. 연결된 장치와 소프트웨어의 엄청난 양은 쉽게 기존 기업의 경우 4자리를 초과합니다.

보안 정보 및 이벤트 관리(SIEM)는 방대한 기술 스택에서 생성되는 엄청난 양의 데이터를 활용하여 공격자를 압도하는 것을 목표로 합니다. 이 글에서는 )의 정의를 다룹니다. SIEM실용적인 응용 프로그램과 함께 SIEM 서로 다른 보안 스택을 응집력 있고 상황에 맞는 전체로 만들어줍니다.

Next-Gen-Datasheet-pdf.webp

다음 세대 SIEM

스텔라 사이버 차세대 SIEM스텔라 사이버의 핵심 구성 요소로서 Open XDR 플랫폼...

데이터 시트 다운로드
데모-이미지.webp

AI 기반 보안을 실제로 경험해 보세요!

즉각적인 위협 탐지 및 대응을 위한 Stellar Cyber의 최첨단 AI를 만나보세요. 오늘 데모를 예약하세요!

데모 요청

어떻게합니까 SIEM 작업?

SIEM 이는 2005년 가트너 연구소에서 도입한 포괄적인 접근 방식으로, 네트워크 내 디바이스 및 이벤트 로그에서 얻은 방대한 데이터를 활용하는 것을 목표로 합니다. 시간이 지남에 따라, SIEM 소프트웨어는 사용자 및 개체 행동 분석을 통합하도록 발전해 왔습니다.UEBA) 및 AI 기능 향상을 통해 애플리케이션 활동을 침해 지표와 연동합니다. 효과적으로 구현될 경우, SIEM 이는 사전 예방적인 네트워크 방어 역할을 하며, 잠재적 위협을 식별하고 무단 접근 방식에 대한 정보를 제공하는 경보 시스템처럼 작동합니다.

그 핵심에서, SIEM 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)를 통합 시스템으로 결합합니다. 네트워크 환경 전체에서 데이터를 수집, 검색 및 보고하여 방대한 양의 정보를 사람이 쉽게 분석할 수 있도록 합니다. 이렇게 통합된 데이터를 통해 데이터 보안 침해에 대한 상세한 조사 및 모니터링이 가능합니다. 요컨대, SIEM 이 기술은 전체적인 보안 관리 시스템 역할을 하며, 잠재적인 위협을 지속적으로 모니터링하고 실시간으로 대응합니다.

6 키 SIEM 구성 요소 및 기능

견고한 보안 정보 및 이벤트 관리(SIEM) 시스템을 구성하는 기본 요소는 시스템이 수집하는 데이터만큼이나 다양합니다. 데이터를 집계하고 분석하는 핵심 구성 요소부터 위협 탐지 및 대응을 강화하는 고급 기능에 이르기까지, 중요한 요소들을 이해하는 것이 필수적입니다. SIEM 이러한 기능은 조직을 사이버 보안 위협으로부터 보호하는 방법을 선택하는 데 도움이 될 것입니다.

#1. 로그 관리

SIEM 소프트웨어는 조직의 IT 환경을 종합적으로 파악하기 위해 로그 데이터를 관리하고 통합하는 데 중요한 역할을 합니다. 이 과정에는 애플리케이션, 장치, 네트워크, 인프라 및 시스템과 같은 다양한 소스에서 로그 및 이벤트 데이터를 수집하는 작업이 포함됩니다. 수집된 데이터는 분석을 거쳐 전체적인 개요를 제공합니다. 다양한 소스의 로그는 집계 및 표준화되어 공통 형식으로 변환되므로 분석이 간소화됩니다. syslog, JSON, XML 등 다양한 로그 형식을 지원하며, 폭넓은 통합 옵션 덕분에 이러한 데이터 수집이 가능합니다.
여러 SIEM 일반적으로 통합 기능이 많이 사용되며, 그중 다수는 다음과 같습니다.
  • 중개인대상 소스 서버에 내장됨, SIEM 소프트웨어 에이전트는 별도의 서비스로 작동하며 로그 내용을 전송합니다. SIEM 솔루션입니다.
    • API 연결: 로그는 API 키를 활용하여 API 엔드포인트를 통해 수집됩니다. 이 방법은 타사 및 클라우드 애플리케이션에 자주 사용됩니다.
    • 애플리케이션 통합:  에 위치한 SIEM 이러한 통합 기능은 다양한 형식의 데이터를 처리하고 소스 시스템의 특정 프로토콜을 사용합니다. 관련 필드를 추출하고 특정 사용 사례에 맞춘 시각화를 생성합니다. 또한 많은 통합 기능은 다양한 시나리오에 대한 사전 구축된 시각화를 제공합니다.
    • 웹훅 : 이 방법은 데이터를 전달하는 데 사용됩니다. SIEM 규칙에 따라 다른 플랫폼으로의 솔루션 연동을 트리거할 수 있습니다. 예를 들어, Slack과의 연동을 통해 지정된 채널로 알림을 보내 조사해야 할 문제가 발생했음을 팀에 알릴 수 있습니다.
    • 맞춤 작성된 스크립트: 엔지니어는 소스 시스템에서 데이터를 수집하기 위해 예약된 맞춤형 스크립트를 실행할 수 있습니다. 이러한 스크립트는 로그 데이터를 형식화하고 전송합니다. SIEM 통합 프로세스의 일부로 소프트웨어를 사용합니다.

    #2. 위협 인텔리전스 및 탐지

    전문 지식과 풍부한 리소스를 갖춘 정교한 공격자가 현실이 되었습니다. 당신이 그들의 표적이 되면 그들은 악용할 취약점을 꼼꼼하게 찾아낼 것입니다. 최고의 보안 도구를 사용하더라도 잠재적인 위협을 모두 찾아내는 것은 불가능합니다. 여기서 위협 사냥의 개념이 중요해집니다. 기본 임무는 이러한 종류의 공격자를 정확하게 식별하고 찾아내는 것입니다.

    위협 탐지 영역에서 데이터는 성공의 핵심 요소입니다. 시스템 활동에 대한 명확한 이해 없이는 효과적인 대응이 불가능합니다. 어떤 시스템에서 데이터를 추출할지는 분석 범위에 따라 결정되는 경우가 많습니다. SIEM 현재 이용 가능한 가장 광범위한 범위 중 하나를 제공합니다.

    보안 분석가의 검색 용이성과 이해도를 높이기 위해, SIEM 이러한 도구들은 로그 구문 분석 및 보강 기술을 활용합니다. 원시 로그는 타임스탬프, 이벤트 유형, 소스 IP 주소, 사용자 이름, 지리적 위치 데이터 및 사용자 컨텍스트와 같은 정보로 분해되어 사람이 읽을 수 있는 정보로 변환됩니다. 이 단계를 통해 분석 프로세스가 간소화되고 로그 항목의 해석 가능성이 향상됩니다.

    또한, SIEM 이러한 도구는 로그 데이터를 중앙 집중식 저장소에 장기간 저장하고 보존할 수 있도록 보장합니다. 이 기능은 포렌식 조사, 이력 분석 및 규정 준수에 매우 유용하며, 시간 경과에 따른 사건 기록을 철저하게 유지하는 데 필수적인 자료가 됩니다.

    #삼. 알림 및 경고

    수집된 데이터가 실질적인 조치로 이어지지 않는다면 로그를 수집하는 것은 무의미합니다. 알림 기능을 통해 보안 분석가는 공격자가 취약점을 악용하기 전에 진행 중인 위협에 앞서 대응할 수 있습니다. 방대한 양의 원시 데이터를 일일이 살펴보는 대신, SIEM 경고는 잠재적 위협에 대한 구체적이고 우선순위가 지정된 관점을 제공합니다. 즉각적인 조치가 필요한 이벤트를 강조하여 보안 팀의 대응 프로세스를 간소화합니다.

    SIEM 경보는 심각도와 중요도에 따라 분류됩니다.

    가장 일반적인 경고 트리거 중 일부는 다음과 같습니다.

    • 여러 번의 로그인 시도 실패: 단일 소스에서 수많은 로그인 시도 실패로 인해 발생하는 이 경고는 잠재적인 무차별 대입 공격이나 무단 액세스 시도를 탐지하는 데 매우 중요합니다.

    • 계정 잠금: 로그인 시도 실패로 인해 계정이 잠긴다는 것은 잠재적인 보안 위협을 의미합니다. 이 경고는 손상된 자격 증명이나 무단 액세스 시도를 정확히 찾아내는 데 도움이 됩니다.

    • 의심스러운 사용자 행동: 비정상적인 리소스에 액세스하거나 권한을 변경하는 등 사용자의 작업이 일반적인 패턴에서 벗어날 때 발생하는 이 경고는 내부 위협이나 손상된 계정을 식별하는 데 중요합니다.

    • 맬웨어 또는 바이러스 감지: SIEM 경고 시스템은 의심스러운 파일 동작이나 서명을 모니터링하여 알려진 악성코드나 바이러스를 식별함으로써 시기적절한 예방 조치를 가능하게 하고 잠재적 피해를 최소화합니다.

    • 비정상적인 네트워크 트래픽: 데이터 전송이나 블랙리스트에 등록된 IP 주소에 대한 연결의 갑작스러운 증가와 같은 비정상적인 네트워크 활동의 양이나 패턴에 의해 트리거되는 이 경고는 잠재적인 공격이나 무단 데이터 유출을 나타냅니다.

    • 데이터 손실 또는 유출: 중요한 데이터가 조직 외부로 전송되거나 승인되지 않은 사용자가 액세스할 때 생성되는 이 경고는 지적 재산을 보호하고 데이터 보호 규정을 준수하는 데 중요합니다.

    • 시스템 또는 서비스 가동 중지 시간: 중요한 시스템이나 서비스가 중단되는 동안 발생하는 이 경고는 신속한 인식, 조사 및 완화를 통해 비즈니스 운영에 미치는 영향을 최소화하는 데 필수적입니다.

    • 침입 탐지 : SIEM 경고 시스템은 무단 접근이나 취약한 시스템에 대한 공격 시도와 같은 잠재적인 침입 시도를 식별할 수 있어 무단 접근을 방지하고 중요한 정보를 보호하는 데 중요한 역할을 합니다.
    알림이 너무 많네요, 그리고 기존 방식으로는요. SIEM 대부분의 보안 도구는 이러한 위협들을 동일한 수준의 긴급성으로 처리하는 경향이 있습니다. 따라서 최신 도구들은 과중한 업무에 시달리는 보안 담당자들에게 무분별한 경고를 보내는 것을 멈추고, 진정으로 중요한 위협을 식별하는 데 집중해야 할 필요성이 점점 더 커지고 있습니다.

    #4. 지능형 사고 식별

    원칙적으로, SIEM알림 시스템은 데이터를 분석하고 사용자가 실행 가능한 알림을 받을 수 있도록 설계되었습니다. 그러나 여러 단계의 알림 시스템과 복잡한 설정으로 인해 사용자는 "건초 더미에서 바늘 찾기"라는 본래의 목표보다는 "수많은 바늘 더미"에 갇힌 듯한 상황에 직면하는 경우가 많습니다.

    SIEM종종 모든 기능을 포괄하려는 시도 때문에 속도와 정확도가 저하되는 경우가 있습니다.
    기본적으로 이러한 규칙은 조직의 보안 운영 센터(SOC)에서 설정합니다.SOC규칙 정의는 두 가지 문제를 야기합니다. 규칙이 너무 적으면 보안 위협을 간과할 위험이 커집니다. 반대로 규칙이 너무 많으면 오탐이 급증합니다. 이렇게 넘쳐나는 경고로 인해 보안 분석가는 수많은 경고를 조사하느라 허둥지둥대게 되고, 대부분은 중요하지 않은 것으로 판명됩니다. 결과적으로 오탐이 급증하면 직원들의 귀중한 시간이 낭비될 뿐만 아니라, 수많은 경고 속에서 실제 위협을 간과할 가능성도 높아집니다.

    최적의 IT 보안 이점을 위해 규칙은 현재의 정적 기준에서 자동으로 생성 및 업데이트되는 적응형 조건으로 전환되어야 합니다. 이러한 적응형 규칙은 보안 이벤트, 위협 인텔리전스, 비즈니스 컨텍스트 및 IT 환경 변화에 대한 최신 정보를 통합하여 지속적으로 발전해야 합니다. 더욱이, 인간 분석가와 유사한 방식으로 일련의 이벤트를 분석할 수 있는 기능을 갖춘 보다 심오한 수준의 규칙이 필요합니다.

    민첩하고 날카로운 이러한 동적 자동화 시스템은 더 많은 수의 위협을 신속하게 식별하고 오탐을 최소화하며 현재의 이중 규칙 문제를 매우 효과적인 도구로 재구성합니다. 이러한 변화를 통해 중소기업과 기업을 다양한 보안 위협으로부터 보호할 수 있는 역량이 향상됩니다.

    #삼. 법의학적 분석

    지능형 분석의 추가 효과 중 하나는 포렌식 분석을 강화하는 능력입니다. 포렌식팀은 이용 가능한 증거를 수집하고 꼼꼼하게 분석하여 보안 사고를 조사하는 데 중요한 역할을 합니다. 이 증거를 주의 깊게 조사하여 범죄와 관련된 일련의 사건을 재구성하고 범죄 분석가의 지속적인 분석을 위한 귀중한 단서를 제공하는 이야기를 구성합니다. 증거의 각 요소는 이론의 발전에 기여하여 가해자와 범죄 동기를 밝힙니다.

    그러나 팀이 새로운 도구에 익숙해지고 효과적으로 구성하여 조직이 사이버 보안 위협과 잠재적인 공격으로부터 방어할 수 있도록 준비하려면 시간이 필요합니다. 초기 단계에는 지속적인 감시가 포함되므로 네트워크 전반에 걸쳐 생성된 수많은 로그 데이터를 모니터링할 수 있는 솔루션이 필요합니다. 원형 경비 초소와 유사한 포괄적인 360도 관점을 상상해 보세요.

    다음 단계는 분석가를 지원하는 검색 쿼리를 생성하는 것입니다. 보안 프로그램을 평가할 때 일반적으로 고려되는 두 가지 핵심 지표는 보안 사고를 식별하는 데 걸리는 시간인 평균 탐지 시간(MTTD)과 사고 발견 후 해결하는 데 걸리는 시간인 평균 대응 시간(MTTR)입니다. 지난 10년 동안 탐지 기술이 발전하여 MTTD는 크게 감소했지만, 평균 대응 시간(MTTR)은 여전히 ​​높은 수준입니다. 이를 해결하기 위해서는 다양한 시스템의 데이터에 풍부한 이력 및 포렌식 맥락을 추가하는 것이 중요합니다. 여러 소스의 증거를 통합하고, 중앙 집중식 이벤트 타임라인을 구축하고, 다양한 시스템과 통합함으로써 이를 개선할 수 있습니다. SIEM이 타임라인은 로그로 변환하여 원하는 AWS S3 버킷에 업로드할 수 있으므로 보안 사고에 더욱 효율적으로 대응할 수 있습니다.

    #6. 보고, 감사 및 대시보드

    숙련된 사람에게 필수적인 SIEM 이러한 솔루션에서 대시보드는 로그 데이터 분석의 사후 집계 및 정규화 단계에서 필수적인 역할을 합니다. 다양한 소스에서 데이터가 수집된 후, SIEM 이 솔루션은 분석을 위한 준비를 마칩니다. 분석 결과는 실행 가능한 인사이트로 변환되어 대시보드를 통해 편리하게 제공됩니다. 온보딩 프로세스를 간소화하기 위해 다양한 기능이 제공됩니다. SIEM 솔루션에는 사전 구성된 대시보드가 ​​포함되어 있어 팀의 시스템 활용을 간소화합니다. 분석가가 필요에 따라 대시보드를 맞춤 설정할 수 있는 기능은 매우 중요합니다. 이를 통해 인적 분석의 효율성을 높이고, 침해 사고 발생 시 신속한 지원을 제공할 수 있습니다.

    방법 SIEM 다른 도구와 비교

    보안 정보 및 이벤트 관리(SIEM); 보안 오케스트레이션, 자동화 및 대응(SOAR); 확장 탐지 및 대응(XDR); 엔드포인트 탐지 및 대응(EDR); 및 보안 운영 센터(SOC)는 현대 사이버 보안의 필수 구성 요소이며, 각각 고유한 역할을 수행합니다.

    각 도구의 초점, 기능 및 사용 사례를 분석하여 간략하게 살펴보겠습니다. SIEM 인접한 도구와 비교:

     초점기능 적용 사례
    SIEM주로 위협 탐지 및 규정 준수를 위한 로그 및 이벤트 데이터 분석에 중점을 둡니다.데이터를 집계, 상관관계 분석하여 알림 및 보고서를 생성합니다.미리 정의된 규칙에 따라 보안 사고를 모니터링하고 대응하는 데 이상적입니다.
    SOAR보안 프로세스의 오케스트레이션 및 자동화도구를 통합하고, 대응 작업을 자동화하며, 인시던트 대응 워크플로를 간소화합니다.반복적인 작업, 사고 대응 및 워크플로 조정을 자동화하여 효율성을 향상시킵니다.
    XDR전통적인 범위를 넘어 확장됩니다 SIEM 다양한 보안 도구의 데이터를 통합하는 기능다중 보안 계층에 걸쳐 고급 위협 탐지, 조사 및 대응을 제공합니다.위협 탐지 및 대응에 대한 보다 포괄적이고 통합된 접근 방식을 제공합니다.
    EDR엔드포인트 수준에서 위협을 모니터링하고 대응하는 데 집중합니다.엔드포인트 활동을 모니터링하고 위협을 탐지하고 대응하며 엔드포인트 가시성을 제공합니다.개별 장치를 타겟으로 하는 위협을 탐지하고 완화하는 데 필수적입니다.
    SOC사이버 보안 운영을 감독하는 조직 단체로서 고객 보호와 보안 프로세스 효율성 유지에 중점을 둡니다.지속적인 모니터링, 탐지, 대응 및 완화를 위한 사람, 프로세스 및 기술로 구성됩니다.보안 운영을 관리하는 중앙 집중식 허브로, 종종 다음과 같은 도구를 활용합니다. SIEM, EDR, 그리고 XDR
     

    요약하자면, 이러한 도구들은 서로를 보완하며, 조직들은 강력한 사이버 보안 생태계를 구축하기 위해 여러 도구를 조합하여 사용하는 경우가 많습니다. SIEM SOAR는 기초적인 역할을 하는 반면, XDR, EDR, 그리고 SOC 자동화, 포괄적인 위협 탐지, 엔드포인트 보안 및 전반적인 운영 관리 분야에서 특화된 기능과 확장된 역량을 제공합니다.

    (실행하지 말아야 할) 방법 SIEM

    모든 도구와 마찬가지로, 당신의 SIEM 최상의 결과를 얻으려면 제대로 설정해야 합니다. 다음의 실수들은 아무리 고품질의 결과물이라도 심각한 악영향을 미칠 수 있습니다. SIEM 소프트웨어 :

    • 범위 감독: 회사의 범위와 필요한 데이터 수집을 고려하지 않으면 시스템이 의도한 작업 부하의 XNUMX배를 수행하게 되어 비효율성과 리소스 부담이 발생할 수 있습니다.
      •  
    • 피드백 부족: 시험 및 구현 중에 피드백이 제한되거나 없으면 시스템에서 위협 상황을 파악할 수 없게 되어 오탐(false positive) 수가 증가하고 위협 탐지의 정확성이 저하됩니다.
      •  
    • “설정하고 잊어버리세요”: 수동적인 "설정 후 잊어버리는" 구성 방식을 채택하면 다음과 같은 문제가 발생합니다. SIEM이 접근 방식은 시스템의 성장과 새로운 데이터를 통합하는 능력을 제한합니다. 따라서 시스템의 잠재력을 처음부터 제한하고 비즈니스가 확장됨에 따라 점점 더 비효율적으로 만듭니다.
      •  
    • 이해관계자 배제: 이해관계자와 직원들을 시스템 도입 과정에 참여시키지 않으면 직원 오류와 부실한 사이버 보안 관행에 시스템이 노출됩니다. 이러한 관리 소홀은 시스템의 전반적인 효율성을 저해할 수 있습니다. SIEM.
    더듬거리며 우연히 최고의 것을 만나기를 바라는 대신에 SIEM 귀하의 사용 사례에 맞는 솔루션을 찾으려면 다음 7단계를 따르면 번거로움 없이 문제를 해결할 수 있습니다. SIEM 보안 팀과 고객을 가장 효과적으로 지원하는 구현 방법:
    • 현재 보안 스택, 규정 준수 요구 사항 및 기대 사항을 고려한 계획을 초안하십시오..
    • 조직의 네트워크 내에서 중요한 정보와 데이터 소스를 식별합니다.
    • 당신이 SIEM 팀 내 전문가가 구성 프로세스를 주도할 것입니다.
    • 새로운 시스템에 대한 모범 사례에 대해 직원과 모든 네트워크 사용자를 교육합니다.
    • 조직 내에서 보호해야 하는 가장 중요한 데이터 유형을 결정합니다.
    • 데이터가 많을수록 항상 좋은 것은 아니라는 점을 염두에 두고 시스템에서 수집할 데이터 유형을 선택하세요.
    • 최종 구현 전 테스트 실행 시간을 예약합니다.
    성공적인 결과를 거둔 후 SIEM 구현을 통해 보안 분석가들은 자신들이 보호하는 애플리케이션 환경에 대한 새로운 통찰력을 얻게 됩니다.

    스텔라 사이버의 차세대 SIEM 해법

    스텔라 사이버의 차세대 SIEM Stellar Cyber ​​제품군의 핵심 구성 요소인 이 솔루션은 소규모 보안 팀이 비즈니스에 필수적인 정확한 보안 조치를 제공하는 데 집중할 수 있도록 세심하게 설계되었습니다. 이 포괄적인 솔루션은 효율성을 최적화하여 리소스가 부족한 팀도 대규모로 운영할 수 있도록 지원합니다.

    다양한 보안 제어, IT 시스템 및 생산성 도구의 데이터를 손쉽게 통합하는 Stellar Cyber는 사전 구축된 커넥터와 원활하게 통합되어 인간의 개입이 필요 없습니다. 이 플랫폼은 위협 인텔리전스, 사용자 세부 정보, 자산 정보 및 지리적 위치와 같은 중요한 컨텍스트를 통합하여 모든 소스의 데이터를 자동으로 정규화하고 풍부하게 합니다. 이를 통해 Stellar Cyber는 포괄적이고 확장 가능한 데이터 분석을 용이하게 할 수 있습니다. 그 결과 미래의 위협 환경에 대한 비할 데 없는 통찰력이 제공됩니다.

    더 자세히 알아보려면 당사의 차세대 SIEM 플랫폼 기능.

    너무 좋은 소리야
    사실일까?
    직접 보세요!

    데모 신청
    위쪽으로 스크롤
    뉴스 레터 신청