SIEM이란?

SIEM 솔루션은 조직에서 비즈니스에 문제를 일으키기 전에 빠르게 위협에 대응할 수 있도록 네트워크 전체의 활동을 한눈에 살펴볼 수 있도록 도와주는 보안 소프트웨어입니다.

SIEM 소프트웨어, 도구 및 서비스는 실시간 분석을 바탕으로 보안 위협을 탐지하고 차단합니다. 여러 원본에서 데이터를 수집하고 정상적인 범위를 벗어나는 활동을 식별하여 적절한 조치를 취합니다.

SIM(보안 정보 관리)은 분석을 위해 이벤트 및 활동 로그 데이터를 수집, 저장 및 모니터링하는 프로세스입니다. SIM은 SEM보다 방대하고 장기적인 프로세스입니다.

SEM(보안 이벤트 관리)은 위협을 처리하고 패턴을 식별하여 인시던트에 대응하기 위해 보안 이벤트 및 경고를 실시간으로 모니터링 및 분석하는 프로세스입니다. SIM과 비교했을 때, 빨간색 플래그일 가능성이 있는 이벤트를 보다 상세히 검토합니다.

SIEM는 두 가지 접근 방식을 하나로 통합한 솔루션입니다.

SIEM은 갈수록 정교해지는 사이버 위협에 대응하여 발전을 거듭해 왔습니다. SIEM 도구는 15년 전에 처음으로 등장했을 당시 조직에서 PCI DSS(Payment Card Industry Data Security Standards)를 비롯한 각종 규제를 준수하도록 지원하는 데 사용되었습니다. 반면에 오늘날 효과적인 SIEM 솔루션은 위협 탐지, 조사 및 대응을 빠르게 처리할 수 있도록 클라우드 기반으로 실행되며 인공 지능을 활용합니다.

SIEM과 SOAR은 둘 다 사이버 보안에서 중요한 역할을 맡고 있습니다.

SIEM은 조직에서 인시던트 및 이벤트를 식별, 분류 및 분석하여 애플리케이션, 디바이스, 네트워크 및 서비스에서 수집한 데이터에 대해 깊이 있게 알아보는 데 사용됩니다.

SOAR(보안 오케스트레이션, 자동화 및 대응)은 위협 및 취약성 관리, 보안 인시던트 대응, 보안 운영(SecOps) 자동화를 처리하는 소프트웨어입니다.

SOAR은 인시던트 응답 워크플로를 자동화함으로써 보안 팀이 SIEM에 의해 생성된 위협과 경고를 우선으로 검토할 수 있도록 지원하는 한편 방대한 크로스 도메인 자동화를 통해 심각한 위협을 더 빠르게 찾아서 해결할 수 있도록 해 줍니다. SOAR은 방대한 데이터로부터 실제 위협을 가려내고 빠르게 인시던트를 해결합니다.

 XDR(확장된 감지 및 대응)은 특정 리소스에 대한 심도 있는 컨텍스트를 바탕으로 위협 탐지 및 대응을 개선하는 사이버 보안의 새로운 접근 방식입니다.

XDR 플랫폼은 다음과 같은 활동을 지원합니다.

•  엔드포인트, 사용자, 애플리케이션, IoT, 클라우드 워크로드 등 각종 플랫폼과 클라우드에서 특정 리소스에 대한 깊이 있는 이해를 바탕으로 공격을 조사합니다.

리소스를 보호하고 보안 태세를 강화하여 랜섬웨어나  피싱과 같은 위협을 막아냅니다. 자동 수정을 사용하여 위협에 빠르게 대응합니다. SIEM 솔루션은 엔터프라이즈 전체에서 종합적인 SecOps 명령 및 제어 환경을 제공합니다.

SIEM 플랫폼은 다음과 같은 활동을 지원합니다.

• 엔터프라이즈 전체를 한눈에 보고 보안 운영을 관리합니다.
• 조직 전체에서 데이터를 수집하고 분석하여 사일로를 넘나드는 인시던트를 탐지, 조사 및 대응합니다.
• 사용자 지정할 수 있는 탐지, 분석 및 기본 제공 자동화를 사용하여 SecOps 효율을 높입니다.

SIEM 솔루션과 XDR 솔루션을 결합하여 디지털 자산 전체에 대한 광범위한 가시성과 특정 위협에 대한 심도 있는 지식을 제공하는 전략을 수립하면 SecOps 팀이 매일같이 발생하는 위협에 대응할 수 있습니다.