ESM
- 여러 관제장비로부터 나오는 데이터를 한곳에서 관리할 수 있게 해주는 솔루션
- 방화벽, IDS, IPS 등에서 나오는 정보를 수집하여 대응이 필요한 데이터에 대해 알림을 주고 통계 데이터나 그래프, 리포트등을 제공
- 관제 시스템에 개별적으로 탑재를 시켜서 전사 보안정책에 따라 중앙 통제도 가능
SIEM
- ESM이 관제 종합 관리 시스템이라면, SIEM은 기업 정보에 대한 종합 관제 솔루션
- ESM과 비슷한 개념이지만 더 고도화된 개념
- 보안 장비에서 생성되는 데이터 외에도 기업 전사시스템에서 발생하는 모든 이벤트를 수집하여 빅데이터 분석 수준으로 통합 분석
각각의 장단점
-
ESM
- 장점: 중앙 통제, 정책 제어 기능 포함
- 단점: 로그를 ESM이 받아들일 수 있는 포맷으로 제공해야 함
-
SIEM
- 빅데이터 기반으로 비정형, 이기종 로그에 대한 통합 분석
- ESM엔 기본적으로 중앙 통제, 정책 제어기능이 포함되어 있지만 SIEM에선 당연 사항은 아니다.
SOAR
- 다양한 보안 위협에 대한 대응 프로세스를 자동화하고 조율해 SOC(Security Operation Center) 직원의 단조롭고 반복적인 업무를 효과적으로 줄이고, 각종 보안 이벤트를 빠르고 정확하게 대응할 수 있게 도와주는 새로운 보안 패러다임
- SOAR의 핵심은 자동화
보안 자동화 기능
종점 격리: 의심스러운 장치가 있는 네트워크 포트를 확인하고 포트, 장비를 비활성화사용자 일시 중지: 팀에서 계정이 해킹 당했다고 의심되면 사용하는 기기에 관계없이 계정 액세스가 중단될 수 있다.머신 데이터 수집: 악성 코드 조사 중에 의심스러운 엔드 포인트에서 포렌식 데이터를 수집네트워크 액세스 일시 중지: 데이터 유출이 발생하면 팀은 방화벽에서 사용하는 액세스 제어 목록을 업데이트하여 연결을 종료할 수 있다.프로세스 종료: 자동화된 스마트 응답 작업으로 중요한 장치에서 알 수 없거나 블랙리스트에 있는 프로세스를 중단
