SIEM
ESM vs SIEM
- SIEM은 기존의 ESM보다 로그 수집과 분석, 검색에 좀 더 특화되어 발전하였음 - 각종 보안 시스템의 로그 뿐만 아니라 DB서버, 운영체제 로그, 애플리케이션 로그와 비정형화된 로그 데이터를 분산 로그 수집 에이전트를 통해 수집함 - 로그 수집 에이전트에서 수집된 로그는 중앙 로그 서버로 보내지고 인덱싱처리를 거쳐 저장되며 검색할 수 있는 상태로 만들어짐 - 로그 데이터에서 의미 있는 정보를 추출하고 시각화해 보여주는 대시보다와 로그 검색 엔진 UX를 이용할 수 있음
ELK(Elasticsearch + Logstash + Kibana)
ELK로 보안 관제시스템을 구축 - Logstash : 각종 보안 장비 및 서버 시스템 등의 이벤트 로그를 수집, 저장, 파싱해서 Elasticsearch에 전달 - Elasticsearch : 각종 로그 데이터의 실시간 분석 및 검색 기능 제공 - Kibana : Elasticsearch에 저장된 데이터를 보여주는 유저 인터페이스
데이터 분석과 검색 (Elasticsearch)
- Elasticsearch는 셰이 배넌이 아파치 루씬을 바탕으로 개발한 오픈소스 분산 검색 엔진 서버 - 빅데이터 분석이 필요한 곳에서 사용되며, 보안 분야에서는 빅데이터 로그 분석을 중심으로 다수의 보안 시스템이 발생하는 각종 로그 데이터를 빠르게 분석할 수 있어서 지능화된 공격을 더욱 효과적으로 탐지할 수 있는 보안관제 시스템(SIEM)으로 활용할 수 있음
로그 수집 (Logstash)
logstash는 각종 이벤트와 로그를 수집하고 파싱과 저장을 해주는 로그 관리 도구
보안에서는 이를 통해 네트워크 이상 행위 탐지와 사용자 접근 및 기록을 종합적으로 분석
input->filter->output의 pipeline 구조로 구성되어 있음
input : 데이터 받기 filter 가공 output출력
데이터 시각화(Kibana)
elasticsearch 에 저장된 데이터를 웹 인터페이스를 이용해 쿼리로 데이터를 가져오거나 시각화해 대시보드를 구성하는 도구
Kibana 질의방식
"@____