SIEM

분류:보안 분류:정보보안기사

Security Information & Event Management

ESM의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공한다.

현장에선 일반적으로 '심'이라고 읽는다.

주요 기능[edit | edit source]

• 데이터 통합: 다양한 장비에서 발생한 데이터를 수집하여 통합 분석한다.
  • 로그 수집: 관제 대상 시스템에 설치된 에이전트로 SNMP, syslog 서버에 저장하는 과정
  • 로그 변환: 다양한 로그 표현형식을 표준 포맷으로 변환하는 과정
• 상관관계: 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관 관계 분석 기능을 제공한다.
  • 로그 분류: 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그루핑하여 한 개의 정보로 취합하는 과정
  • 로그 분석: 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성 규칙을 기준으로 여러 개의 로그들의 연관성을 분석하는 과정
• 알림: 이벤트를 관리자에게 자동으로 알릴 수 있다.
• 대시보드: 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있다.

기타[edit | edit source]

• SIEM과 관련된 기업, 솔루션
  • SPLUNK, QRadar, Arcsight
  • 시큐레이어 eyeCloudSIM
  • 이글루 시큐리티 Spider
  • 로그프레소 Logpresso

같이 보기[edit | edit source]

• ESM
• 보안 관제