☑️ SIEM이란?
SIEM(Security Information and Event Management)은
로그 수집, 보관, 분석, 탐지, 경고 등 보안 이벤트 관리를 통합적으로 수행하는 시스템입니다.
☑️ 핵심 구성 요소 (두 기능의 합성어)
| 구성 | 설명 |
|---|---|
| SIM (Security Information Management) | 다양한 시스템에서 생성된 로그를 수집, 저장, 분석하여 과거 데이터를 기반으로 인사이트 도출 |
| SEM (Security Event Management) | 실시간으로 보안 이벤트를 탐지, 경고, 대응하는 기능 |
→ 즉, 과거와 현재의 보안 상태를 함께 파악할 수 있게 해주는 통합 플랫폼입니다.
☑️ 주요 기능
-
로그 수집
- 방화벽, 서버, IDS/IPS, DB, 클라우드 등 다양한 시스템의 로그 통합 수집
- 형식이 다른 로그를 통일된 포맷으로 정규화
-
이벤트 상관 분석
- 여러 이벤트 간 관계를 분석해 의심스러운 행위 패턴 탐지
- 예: 외부 IP에서 로그인 시도 후 데이터 대량 다운로드 → 의심 경보
-
실시간 경고 및 대시보드
- 정해진 룰/AI 기반으로 이상 징후 탐지
- 시각화된 대시보드로 상태 모니터링
-
포렌식 및 보고
- 사고 발생 시 로그를 기반으로 원인 분석
- 규제 대응 및 보고서 자동 생성
☑️ 대표 솔루션 예시
- Splunk
- IBM QRadar
- ArcSight
- ELK + Wazuh (오픈소스 조합)
- 국내 솔루션: 이글아이, Logpresso, SecuLetter 등
☑️ SIEM 예시 아키텍처 구성
[1] 데이터 소스
- 웹 서버, DB 서버, 방화벽, IDS/IPS, 클라우드 서비스, 애플리케이션 로그
[2] 로그 수집기
- Filebeat, Fluentd, NxLog 등
- 각 시스템에서 로그를 수집해 중앙 저장소로 전달
[3] 로그 저장 및 처리 플랫폼
- Elasticsearch / Graylog / Splunk
- 로그 정규화, 저장, 인덱싱
[4] 상관분석 및 탐지 모듈
- 룰 기반(조건 정의) or AI 기반(ML 모델 학습)
- 예: “정상 위치가 아닌 해외 IP에서 관리자 로그인 시도 → 경고 발생”
[5] 경고/대시보드 시스템
- Kibana, Grafana, Splunk dashboard 등
- 실시간 경고, 차트 시각화, 리포트 생성
[6] 대응 연계 시스템 (SOAR)
- 이메일/Slack 경고, 방화벽 정책 변경 API 연동 등
☑️ 초급자용 SIEM 실습 시나리오 예시
| 시나리오 제목 | 내용 |
|---|---|
| 1. 웹 서버 로그 수집 | Apache/nginx 서버에서 access.log 수집 → Filebeat로 Elasticsearch에 전송 |
| 2. 관리자 로그인 시도 경고 | 로그인 로그 중 ‘admin’ 계정 다중 실패 발생 시 alert 발생 |
| 3. 비정상 시간대 접속 탐지 | 평일 업무 외 시간대의 접근 IP를 필터링하여 경고 |
| 4. 다수 지역에서의 동시 로그인 | 같은 계정이 짧은 시간 내 서로 다른 지역 IP에서 로그인한 경우 감지 |
| 5. 시각화 대시보드 구성 | 성공/실패 로그인 시도, 공격 소스 국가별 통계 대시보드 만들기 |
☑️ 한 문장 요약
"SIEM은 다양한 보안 로그를 통합 분석하고, 실시간으로 이상 징후를 탐지해 대응할 수 있게 하는 플랫폼입니다. 단순 수집을 넘어 상관분석, 자동 경고, 포렌식 분석까지 아우르는 핵심 인프라라고 생각합니다."
