그곳은 정글이다! 악의적인 사람들이 도처에 있고 그들은 당신을 쫓고 있습니다. 글쎄, 아마도 당신은 개인적으로 아니라 오히려 당신의 데이터입니다. 우리가 방어해야 하는 것은 더 이상 바이러스만이 아니라 네트워크와 조직을 심각한 상황에 빠뜨릴 수 있는 모든 종류의 공격입니다. 안티바이러스, 방화벽 및 침입 탐지 시스템과 같은 다양한 보호 시스템의 확산으로 인해 네트워크 관리자는 이제 상호 연관시켜야 하는 정보로 넘쳐나고 이를 이해하기 위해 노력하고 있습니다. SIEM(보안 정보 및 이벤트 관리) 시스템이 유용한 곳입니다. 그들은 너무 많은 정보를 다루는 끔찍한 작업의 대부분을 처리합니다. SIEM 선택 작업을 보다 쉽게 수행할 수 있도록 최고의 SIEM(보안 정보 및 이벤트 관리) 도구를 제공합니다.
오늘 우리는 현대적인 위협 현장에 대해 논의하여 분석을 시작합니다. 우리가 말했듯이 더 이상 단순한 바이러스가 아닙니다. 그런 다음 SIEM이 정확히 무엇인지 더 잘 설명하고 SIEM 시스템을 구성하는 다양한 구성 요소에 대해 이야기하겠습니다. 그들 중 일부는 다른 사람보다 더 중요할 수 있지만 상대적 중요성은 사람마다 다를 수 있습니다. 마지막으로 6가지 최고의 SIEM(보안 정보 및 이벤트 관리) 도구를 선택하고 각 도구를 간략하게 검토합니다.
목차
현대의 위협 현장
컴퓨터 보안은 바이러스 보호에 관한 것이었습니다. 그러나 최근 몇 년 동안 여러 종류의 공격이 발견되었습니다. 서비스 거부(DoS) 공격, 데이터 도난 등의 형태를 취할 수 있습니다. 그리고 그들은 더 이상 외부에서 오는 것이 아닙니다. 많은 공격이 네트워크 내에서 발생합니다. 따라서 궁극적 인 보호를 위해 다양한 유형의 보호 시스템이 발명되었습니다. 기존의 안티바이러스 및 방화벽 외에도 이제 침입 감지 및 데이터 손실 방지 시스템(IDS 및 DLP)이 있습니다.
물론 시스템을 더 많이 추가할수록 더 많은 관리 작업이 필요합니다. 각 시스템은 비정상성에 대한 일부 특정 매개변수를 모니터링하고 해당 매개변수를 기록하고 발견되면 경고를 트리거합니다. 이 모든 시스템의 모니터링이 자동화될 수 있다면 좋지 않을까요? 또한 일부 유형의 공격은 여러 단계를 거치면서 여러 시스템에서 탐지할 수 있습니다. 관련된 모든 이벤트에 하나로 대응할 수 있다면 훨씬 좋지 않을까요? 자, 이것이 바로 SIEM의 모든 것입니다.
SIEM이란 정확히 무엇입니까?
이름이 모든 것을 말해줍니다. 보안 정보 및 이벤트 관리는 보안 정보 및 이벤트를 관리하는 프로세스입니다. 구체적으로 SIEM 시스템은 어떠한 보호도 제공하지 않습니다. 주요 목적은 네트워크 및 보안 관리자의 삶을 더 쉽게 만드는 것입니다. 일반적인 SIEM 시스템이 실제로 하는 일은 다양한 보호 및 탐지 시스템에서 정보를 수집하고, 이 모든 정보를 관련 이벤트와 결합하고, 의미 있는 이벤트에 다양한 방식으로 대응하는 것입니다. 종종 SIEM 시스템에는 보고 및 대시보드 형식도 포함됩니다.
SIEM 시스템의 필수 구성요소
우리는 SIEM 시스템의 각 주요 구성요소를 더 자세히 탐구하려고 합니다. 모든 SIEM 시스템이 이러한 모든 구성 요소를 포함하는 것은 아니며 포함하더라도 다른 기능을 가질 수 있습니다. 그러나 이들은 모든 SIEM 시스템에서 어떤 형태로든 일반적으로 찾을 수 있는 가장 기본적인 구성 요소입니다.
로그 수집 및 관리
로그 수집 및 관리는 모든 SIEM 시스템의 주요 구성 요소입니다. 그것이 없으면 SIEM도 없습니다. SIEM 시스템은 다양한 소스에서 로그 데이터를 수집해야 합니다. 이를 풀거나 다른 감지 및 보호 시스템이 SIEM으로 푸시할 수 있습니다. 각 시스템에는 데이터를 분류하고 기록하는 고유한 방법이 있으므로 소스가 무엇이든 상관없이 데이터를 정규화하고 균일하게 만드는 것은 SIEM에 달려 있습니다.
정규화 후 기록된 데이터는 종종 알려진 공격 패턴과 비교되어 악의적인 동작을 가능한 한 빨리 인식합니다. 또한 데이터는 이전에 수집된 데이터와 종종 비교되어 비정상적인 활동 감지를 더욱 강화할 기준선을 구축하는 데 도움이 됩니다.
이벤트 응답
이벤트가 감지되면 이에 대해 조치를 취해야 합니다. 이것이 SIEM 시스템의 이벤트 응답 모듈에 관한 것입니다. 이벤트 응답은 다양한 형태를 취할 수 있습니다. 가장 기본적인 구현에서는 시스템 콘솔에 경고 메시지가 생성됩니다. 종종 이메일 또는 SMS 알림도 생성될 수 있습니다.
그러나 최고의 SIEM 시스템은 한 단계 더 나아가 일부 교정 프로세스를 시작하는 경우가 많습니다. 다시 말하지만, 이것은 다양한 형태를 취할 수 있는 것입니다. 최고의 시스템에는 원하는 응답을 정확하게 제공하도록 사용자 지정할 수 있는 완전한 사고 대응 워크플로 시스템이 있습니다. 예상대로 사고 대응이 균일할 필요는 없으며 다양한 이벤트가 다른 프로세스를 트리거할 수 있습니다. 최고의 시스템을 통해 사고 대응 워크플로를 완벽하게 제어할 수 있습니다.
보고
로그 수집 및 관리와 대응 시스템이 준비되면 다음으로 필요한 구성 요소는 보고입니다. 아직 모를 수도 있지만 보고서가 필요합니다. 고위 경영진은 SIEM 시스템에 대한 투자가 성과를 거두고 있는지 스스로 확인해야 합니다. 적합성을 위해 보고서가 필요할 수도 있습니다. SIEM 시스템이 적합성 보고서를 생성할 수 있으면 PCI DSS, HIPAA 또는 SOX와 같은 표준을 쉽게 준수할 수 있습니다.
보고서는 SIEM 시스템의 핵심은 아니지만 여전히 하나의 필수 구성 요소입니다. 그리고 종종 보고는 경쟁 시스템 간의 주요 차별화 요소가 될 것입니다. 보고서는 사탕과 같아서 너무 많이 가질 수 없습니다. 물론 최고의 시스템을 사용하면 맞춤형 보고서를 만들 수 있습니다.
대시보드
마지막으로 대시보드는 SIEM 시스템의 상태를 볼 수 있는 창입니다. 그리고 여러 대시보드가 있을 수도 있습니다. 사람마다 우선 순위와 관심사가 다르기 때문에 네트워크 관리자에게 완벽한 대시보드는 보안 관리자의 대시보드와 다릅니다. 그리고 경영진에게도 완전히 다른 것이 필요할 것입니다.
SIEM 시스템에 있는 대시보드 수로 평가할 수는 없지만 필요한 모든 대시보드가 있는 시스템을 선택해야 합니다. 이것은 공급업체를 평가할 때 확실히 염두에 두어야 할 사항입니다. 보고서와 마찬가지로 최고의 시스템을 사용하면 원하는 대로 맞춤형 대시보드를 구축할 수 있습니다.
최고의 6 SIEM 도구
많은 SIEM 시스템이 있습니다. 여기에서 모두 검토하기에는 실제로 너무 많습니다. 그래서 우리는 시장을 검색하고 시스템을 비교하고 6가지 최고의 SIEM(보안 정보 및 관리) 도구로 찾은 목록을 작성했습니다. 선호하는 순서대로 나열하고 각각을 간략하게 검토하겠습니다. 그러나 주문에도 불구하고 6가지 모두 직접 사용해 보라고 권할 수 있는 우수한 시스템입니다.
상위 6개 SIEM 도구는 다음과 같습니다.
SolarWinds 로그 및 이벤트 관리자
Splunk 엔터프라이즈 보안
RSA NetWitness
ArcSight 엔터프라이즈 보안 관리자
McAfee 엔터프라이즈 보안 관리자
IBM QRadar SIEM
1. SolarWinds 로그 및 이벤트 관리자(30일 무료 평가판)
SolarWinds는 네트워크 모니터링 분야에서 흔히 사용되는 이름입니다. 그들의 주력 제품인 Network Performance Monitor는 사용 가능한 최고의 SNMP 모니터링 도구 중 하나입니다. 이 회사는 서브넷 계산기 또는 SFTP 서버와 같은 수많은 무료 도구로도 유명합니다.
SolarWinds의 SIEM 도구인 LEM(Log and Event Manager)은 엔트리 레벨 SIEM 시스템으로 가장 잘 설명됩니다. 그러나 아마도 시장에서 가장 경쟁력 있는 보급형 시스템 중 하나일 것입니다. SolarWinds LEM에는 SIEM 시스템에서 기대할 수 있는 모든 것이 있습니다. 우수한 장기 관리 및 상관 관계 기능과 인상적인 보고 엔진이 있습니다.
도구의 이벤트 응답 기능에 관해서는 원하는 것이 없습니다. 상세한 실시간 대응 시스템은 모든 위협에 능동적으로 대응합니다. 그리고 서명이 아닌 행동을 기반으로 하기 때문에 알려지지 않았거나 미래의 위협으로부터 보호됩니다.
그러나 도구의 대시보드는 아마도 최고의 자산일 것입니다. 단순한 디자인으로 이상 징후를 신속하게 식별하는 데 어려움이 없습니다. 약 $4,500부터 시작하는 이 도구는 저렴합니다. 그리고 먼저 사용해보고 싶다면 모든 기능을 갖춘 무료 30일 평가판을 다운로드할 수 있습니다.
2. Splunk Enterprise 보안
아마도 가장 인기 있는 SIEM 시스템 중 하나일 것입니다. Splunk 엔터프라이즈 보안Splunk ES라고도 불리는 Splunk ES는 특히 분석 기능으로 유명합니다. Splunk ES는 시스템 데이터를 실시간으로 모니터링하여 취약점과 비정상적인 활동의 징후를 찾습니다.
보안 대응은 Splunk ES의 강점 중 하나입니다. 시스템은 55개 이상의 보안 공급업체의 장비와 통합되는 Splunk가 ARF(Adaptive Response Framework)라고 부르는 것을 사용합니다. ARF는 자동화된 응답을 수행하여 수동 작업의 속도를 높입니다. 이를 통해 빠르게 우위를 점할 수 있습니다. 여기에 간단하고 깔끔한 사용자 인터페이스를 추가하면 성공적인 솔루션을 얻을 수 있습니다. 다른 흥미로운 기능으로는 사용자 정의 가능한 경고를 표시하는 Notables 기능과 악의적인 활동에 플래그를 지정하고 추가 문제를 방지하기 위한 Asset Investigator가 있습니다.
Splunk ES는 진정한 엔터프라이즈급 제품이며 엔터프라이즈급 가격표와 함께 제공됩니다. Splunk 웹 사이트에서는 가격 정보도 얻을 수 없습니다. 가격을 알아보려면 판매 부서에 문의해야 합니다. 가격에도 불구하고 이 제품은 훌륭한 제품이므로 Splunk에 문의하여 무료 평가판을 이용하고 싶을 수 있습니다.
3. RSA NetWitness
20016년부터 NetWitness는 “심층 실시간 네트워크 상황 인식 및 민첩한 네트워크 응답”을 지원하는 제품에 집중해 왔습니다. EMC에 인수되어 Dell과 합병된 후 Newitness 비즈니스는 이제 회사의 RSA 지점에 속하게 되었습니다. 이것은 희소식입니다. RSA는 보안 분야에서 유명한 이름입니다.
RSA NetWitness 완전한 네트워크 분석 솔루션을 찾는 조직에 이상적입니다. 이 도구는 알림의 우선 순위를 지정하는 데 도움이 되는 비즈니스 정보를 통합합니다. RSA에 따르면 이 시스템은 “다른 SIEM 솔루션보다 더 많은 캡처 지점, 컴퓨팅 플랫폼 및 위협 인텔리전스 소스에서 데이터를 수집”합니다. 행동 분석, 데이터 과학 기술 및 위협 인텔리전스를 결합한 고급 위협 탐지도 있습니다. 마지막으로 고급 대응 시스템은 위협이 비즈니스에 영향을 미치기 전에 제거하는 데 도움이 되는 오케스트레이션 및 자동화 기능을 자랑합니다.
RSA NetWitness의 주요 단점 중 하나는 사용 및 구성이 쉽지 않다는 것입니다. 그러나 제품 설정 및 사용에 도움이 될 수 있는 포괄적인 문서가 있습니다. 이것은 또 다른 엔터프라이즈급 제품이며 가격 정보를 얻으려면 영업팀에 문의해야 합니다.
4. ArcSight 엔터프라이즈 보안 관리자
ArcSight 엔터프라이즈 보안 관리자 보안 위협을 식별하고 우선 순위를 지정하고, 사고 대응 활동을 구성 및 추적하고, 감사 및 규정 준수 활동을 단순화하는 데 도움이 됩니다. 이전에는 HP 브랜드로 판매되었지만 현재는 또 다른 HP 자회사인 Micro Focus와 합병되었습니다.
15년 이상 사용된 ArcSight는 또 다른 엄청나게 인기 있는 SIEM 도구입니다. 다양한 소스의 로그 데이터를 컴파일하고 광범위한 데이터 분석을 수행하여 악의적인 활동의 징후를 찾습니다. 실시간으로 위협을 쉽게 식별할 수 있도록 real0tme 분석 결과를 확인할 수 있습니다.
다음은 제품의 주요 기능에 대한 요약입니다. 강력한 분산 실시간 데이터 상관 관계, 워크플로 자동화, 보안 오케스트레이션 및 커뮤니티 기반 보안 콘텐츠가 있습니다. Enterprise Security Manager는 ArcSight Data Platform 및 Event Broker 또는 ArcSight Investigate와 같은 다른 ArcSight 제품과도 통합됩니다. 이것은 거의 모든 품질의 SIEM 도구와 같은 또 다른 엔터프라이즈급 제품으로, 가격 정보를 얻으려면 ArcSight의 영업 팀에 문의해야 합니다.
5. 맥아피 엔터프라이즈 시큐리티 매니저
McAfee는 확실히 보안 업계의 또 다른 이름입니다. 그러나 바이러스 보호 제품으로 더 잘 알려져 있습니다. 그만큼 엔터프라이즈 보안 관리자 단순한 소프트웨어가 아닙니다. 사실 가전제품입니다. 가상 또는 물리적 형태로 얻을 수 있습니다.
분석 기능 면에서 McAfee Enterprise Security Manager는 많은 사람들이 최고의 SIEM 도구 중 하나로 간주합니다. 시스템은 다양한 장치에서 로그를 수집합니다. 정규화 능력에 관해서도 최고 수준입니다. 상관 관계 엔진은 서로 다른 데이터 소스를 쉽게 컴파일하여 보안 이벤트가 발생하는 즉시 감지할 수 있도록 합니다.
사실 McAfee 솔루션에는 Enterprise Security Manager 이상의 기능이 있습니다. 완전한 SIEM 솔루션을 얻으려면 Enterprise Log Manager와 Event Receiver도 필요합니다. 다행히 모든 제품을 단일 어플라이언스에 패키징할 수 있습니다. 제품을 구매하기 전에 제품을 사용해 보고 싶은 분들을 위해 무료 평가판을 사용할 수 있습니다.
6. IBM QRadar
IT 업계에서 가장 잘 알려진 IBM은 SIEM 솔루션을 구축하는 데 성공했습니다. IBM QRadar 시장에서 최고의 제품 중 하나입니다. 이 도구는 보안 분석가가 이상 징후를 감지하고 지능형 위협을 발견하며 실시간으로 오탐지를 제거할 수 있도록 합니다.
IBM QRadar는 일련의 로그 관리, 데이터 수집, 분석 및 침입 감지 기능을 자랑합니다. 함께 네트워크 인프라를 가동하고 실행하는 데 도움이 됩니다. 잠재적인 공격을 시뮬레이션할 수 있는 위험 모델링 분석도 있습니다.
QRadar의 일부 주요 기능에는 솔루션을 온프레미스 또는 클라우드 환경에 배치하는 기능이 포함됩니다. 이것은 모듈식 솔루션이며 빠르고 저렴하게 처리 능력 스토리지를 추가할 수 있습니다. 이 시스템은 IBM X-Force의 인텔리전스 전문 지식을 사용하며 수백 개의 IBM 및 비IBM 제품과 원활하게 통합됩니다.
IBM은 IBM이기 때문에 SIEM 솔루션에 대해 프리미엄 가격을 지불할 것으로 기대할 수 있습니다. 그러나 시장에서 최고의 SIEM 도구 중 하나가 필요한 경우 QRadar는 투자할 가치가 있습니다.
결론적으로
최고의 SIEM(보안 정보 및 이벤트 모니터링) 도구를 구입할 때 겪게 되는 유일한 문제는 탁월한 옵션이 풍부하다는 것입니다. 베스트 6을 소개했습니다. 모두 탁월한 선택입니다. 선택할 항목은 정확한 요구 사항, 예산 및 설정에 투입할 시간에 따라 크게 달라집니다. 아아, 초기 구성은 항상 가장 어려운 부분이며 SIEM 도구가 제대로 구성되지 않으면 작업을 제대로 수행할 수 없기 때문에 문제가 발생할 수 있습니다.
텍스트 50 – 2300