TIL- status, SIEM

kyoungyeon·2023년 10월 30일
0

TIL

목록 보기
95/110

status

  • 최근 업로드가 뜸했다

  • 이유는 여러가지인데, 첫째로 술 약속이 잦아졌다.
    일주일 기간으로 개발지 친구들과 회사와 한 번씩 먹었다.

    그리고 제발 회식 점심때 하고싶다..

그래서 계속 몸이 안 좋았다. 몸이 안 좋은데 술까지 먹으니 더 안 좋아지겠지.

덕분에
운동도 거의 못 감 일주일에 많아 봐야 두 번?

몸이 너무 안 좋아서 저번 주는 12만 원짜리 복합 수액을 맞았다

(실비 안된 거 실화냐,.)

잦은 설사, 변비로 시달렸고,
저녁에 식은땀으로 깨기도 함
그 와중에 피부도 뒤집히고.. 진짜 피부과 돈 아깝게..

체력이 바닥 나서 점심시간마다 졸았다

딱히 집중할 일이 없다 보니 조는 일도 잦긴 했다..

프로젝트 아닌 PoC...

드디어 프로젝트 전 PoC 하게 되었다.

주의 : 프로젝트 아님

연말이라 돈이 많은 고객님께서 돈을 푸셔서

꼽사리로 SOAR와 SIEM 이 끼게 됨. 얏호.

Proof of Concept?

기획안 같은 건데, 왜 엔지니어가 끼냐면

PRESALES

라서 그렇다.

Sales 엔지니어의 경우 보통 기술 제안에 들어가기 때문이다.

다만 경쟁 입찰이라 솔직히 성공 확률 보장 안 됨.

잘 풀리면 좋겠다.

WHAT IS A PROOF OF CONCEPT IN SOFTWARE PRODUCT DEVELOPMENT?

낯선 개념이고, 나 또한 실제로 본 적이 없어 개발자 동료한테도 어떻게 설명해 줄 수 없었다....
실무랑 이론은 다를수 있잖아?

무엇보다 이게 왜 엔지니어 역량이 되는지 전혀 이해가 안감.

이번 기회에 기필코 뭘 하는 건지 꼭 보러가려한다.

SIEM

what - 단순하게 로그 수집기.

  • 전 계층, 이기종 장비 로그를 수집함.
    그림에서 보듯이 endpoint level~ db 서버까지 (OSI 7~ 2)
    다 커버 가능하다고 한다
    게다가 splunk 의 경우 Onpremise 환경에서 ~ Cloud까지!
    환경에 무관하게 방대한 데이터를 모집하다보니 big data 기술을 쓰게 된다.
    그래서 db 기반 솔루션이다.

why

  • 각 계층별 log를 언제 다 보고 분석하고 취약점 파악해서 보안 정책 세워서 방화벽 구축하냐! 에서 온 해결책. 인력 리소스 낭비도 심하고 당연히 휴먼 에러 발생.
    게다가 너무 많은 보안 alert에 대한 피로감도 상당하다고 한다.

how

  • log 수집후 parsing을 할 때, TI 분석을 할 때, SIEM내 설치된 framework나 자체 library 기준에 맞춰 분류, 분석, 탐지를 해줌.

who

  • 주로 SOC team에서 Tier1~4(SOC Manager) 까지
    보안관제에서 alert/ indicate틀 모니터링, 분석 , 보고를 맡는 계층들이 두루 쓴다.
    예전처럼 VT 들어가서 일일이 안찾고 그냥 SIEM에서 alert 뜬것 확인하면 된다. 즉 log 수집 후 parsing, severity 별 경고등을 gui 환경에서 자동화해서 보여주니 아무래도 시각적으로 업무적으로 효율적이고 편리하다.

when - 그러니까요..

  • log 수집이 제한된 리소스를 뛰어넘는 대용량 데이터 수집하는 회사에서 때가 되면 쓴다.
    상황보고 필요하면 도입하는 듯.
    요새 AI 업체가 늘고 있으니 그만큼 빅데이터 처리용으로 주로 쓸 수있을 듯하다.
    주로 사이트에 가면 레거시로 보통 SIEM은 잘 설치가 되어있는데 SOAR는 추가 옵션 같은 기능이라 잘 도입 안한다고 함...

where - 금융권, AI, IT 서비스, 보안 서비스 등

  • 나름 빅 컴패니에서 자주 목격된다!

etc

문제 해결?

기쁘냐고요?

근 3개월간 나의 엔지니어 역량은….좀 의심스럽다.

근 2년 IT를 배웠지만

해결 만 하고 끝은 아니잖아요.

여러 이유가 있는데,

  • 벤더사가 아닌 유통업계라는 것도 환경도 한몫한다.
  • 지금까지 프로젝트가 없는 상황이었다.
  • 지난 3개월간 내부 업무 위주로 돌아가다 보니 생산성이 없었음.

그래서 내가 하는 업무에 대한 성과지표가 전혀 파악되지 않았다.

그리고. ..

  • 공대 출신 전공자가 없다

딱히 Computer Science Knowlege 가 있는 사람은 발견하지 못함.

...

이런저런 핑계로
지금의 나는
How 에서 > Why 로 넘어가질 못한다.

좋은걸까?

신기하게도 같은 상황을 즐기는 사람도 보인다.

지금의 나는

왜 개발자들이 결국 IT 서비스 제공업체를 선택하는지 알 것 같다.

내년 프로젝트가 성사가 안 된다면 ..

정말 화가 날 것 같다.

profile
kyoungyeon
🏠TECH & GOSSIP
이전 포스트

TIL- centOS 에서 mariadb 와 mysqld를 쓰는 이유

0개의 댓글