정의
SIEM 은 Security Information and Event Management로, 보안 정보 및 이벤트 관리를 해주는 보안 솔루션을 의미한다.
SIM(보안 정보 관리)과 SEM(보안 이벤트 관리)의 기능을 하나의 관리 시스템으로 통합한 것이다.
어느 정도 규모가 있는 기업에서는 SIEM을 사용하고 있다고 볼 수 있다.
기업의 보안 팀에서 사용자의 행동 이상을 탐지하고 AI를 사용하여 위협 탐지와 대응 등 관련된 수동 프로세스를 자동화하도록 돕는다.
동작 원리
1. 로그 수집 : 다양한 데이터 소스에서 로그 수집
2. 정규화 : 수집된 로그를 표준 포맷으로 변환하여 일관성 있게 분석할 수 있도록 준비
3. 상관 분석 : 정규화된 로그 데이터를 규칙 및 분석 엔진을 통해 상관 분석
4. 이벤트 분류 : 분석된 결과를 기반으로 이벤트의 심각도를 판단하고 경보를 생성
5. 대응 : 위협 탐지 시 보안 팀에 알리고, 자동화된 대응을 통해 위협 완화
기능
가장 기초적인 레벨에서는 일정 수준의 데이터 집계, 통합, 정렬 기능을 수행하여 위협을 식별하며 데이터 규정 준수 요구사항을 고수한다.
1. 로그 관리
로그 데이터를 관리하고 통합하는 데 중요한 역할을 한다. 이 프로세스에는 애플리케이션, 장치, 네트워크, 인프라 및 시스템과 같은 다양한 소스에서 로그 및 이벤트 데이터를 수집하는 작업이 포함된다. 수집된 데이터는 분석을 거쳐 개요를 제공해주며, syslog, JSON, XML을 포함한 다양한 로그 형식을 수용해준다.
사용 예시
API 연결 : 로그는 API 키를 활용하여 API 엔드포인트를 통해 수집된다.
애플리케이션 통합 : 다양한 형식의 데이터를 처리하고 소스 시스템의 특정 프로토콜을 사용하여 관련 필드를 추출하고 특정 사용 사례에 맞는 시각화를 만든다.
맞춤 작성 스크립트 : 엔지니어는 예약한 맞춤형 스크립트를 실행하여 소스 시스템에서 데이터를 수집할 수 있다. 이러한 스크립트는 통합 프로세스의 일부로 로그 데이터의 형식을 지정하고 이를 SIEM 소프트웨어로 전송한다.
2. 위협 인텔리전스 및 탐지
공격자를 정확하게 식별하고 찾아내는 것이 중요한데, 이 때에 데이터는 위협 인텔리전스 탐지에서 핵심이 된다. 시스템 활동을 명확하게 파악해야만 효과적인 대응이 가능하다. 데이터를 추출할 시스템에 대한 결정은 분석 범위에 따라 달라지는 경우가 많아, SIEM은 분석 범위 중 가장 광범위한 범위 중 하나를 제공한다.
보안 분석가의 검색 가능성과 이해력을 향상시키기 위해 SIEM 도구는 로그 구문 분석과 강화 기술을 사용한다. 초기 로그는 사람이 읽을 수 있는 정보로 변환되어 데이터를 타임스탬프, 이벤트 유형, 소스 IP 주소, 사용자 이름, 지리적 위치 데이터 등으로 분류한다. 이 단계는 분석 프로세스를 간소화하고 로그 항목의 해석 가능성을 향상시킨다.
또한 장기간 중앙 저장소에 로그 데이터를 저장하고 보존 가능하도록 보장한다. 이 기능은 포렌식 조사, 기록 분석, 규정 준수함에 있어 중요한 역할을 한다.
3. 알림 및 경고
탐지한 위협 데이터를 조치하지 않으면 로그를 수집하는 것은 무의미하게 된다. 그런 의미에서 알림은 공격자가 취약점을 악용하기 전 조치할 수 있게끔 해준다. 방대한 양의 데이터를 탐색하기 때문에 SIEM 알림은 잠재적 위협에 대해 타겟팅되며, 우선순위를 통해 위협이 무엇인지 제공해준다. 즉각적인 조치가 필요한 이벤트를 강조하여 보안 팀의 대응 프로세스를 간소화해준다.
일반적인 경고 트리거
여러 번의 로그인 시도 실패 : 잠재적인 brute-force attack이나 무단 액세스 시도를 탐지하는 것으로 중요하다
계정 잠금 : 로그인 시도 실패로 인해 계정이 잠기는 것은 잠재적인 보안 위협을 의미한다. 손상된 자격 증명이나 무단 액세스 시도를 찾아내는 데에 도움이 된다.
의심스러운 사용자 행동 : 비정상적인 리소스에 액세스하거나 권한을 변경하는 등 일반적인 패턴에서 벗어나게 되면 발생한다. 내부 위협이나 손상된 계정을 식별 가능하다.
Malware 또는 바이러스 감지 : 의심스러운 파일 동작이나 서명을 모니터링하여 알려진 malware나 바이러스를 식별하고 예방하여 잠재적인 피해를 최소화할 수 있다.
비정상적인 네트워크 트래픽 : 데이터 전송이나 블랙리스트에 등록된 IP 주소에 대한 연결의 갑작스러운 증가 등과 같은 비정상적인 네트워크 활동의 양이나 패턴에 의해 트리거된다. 이는 잠재적인 공격이나 무단 데이터 유출을 나타낸다.
데이터 손실 또는 유출 : 중요 데이터가 조직 외부로 전송되거나 승인되지 않은 사용자가 액세스할 때 생성되는 경고는 지적 재산을 보호하고 데이터 보호 규정을 준수하는 데 중요하다.
침입 탐지 : 무단 액세스 또는 취약한 시스템에 대한 악용 시도와 같은 잠재적인 침입 시도를 식별 가능하며, 무단 액세스를 방지하고 중요한 정보를 보호하는 데 중요한 역할을 한다.
4. 지능형 사고 식별
기본적으로 조직의 SOC(보안 운영 센터)에서 설정한 규칙은 두 가지 과제를 제기한다. 정의된 규칙이 너무 적으면 보안 위협을 간과할 위험이 높아지며, 반면에 규칙을 과도하게 정의하면 오탐이 급증하게 된다.
최적의 이점을 위해 규칙은 정적 기준에서 자동으로 생성 및 업데이트되는 적응형 조건으로 전환되어야 한다. 이러한 적응형 규칙은 보안 이벤트, 위협 인텔리전스, 비즈니스 컨텍스트 및 IT 환경 변화에 대한 최신 정보를 통합하여 지속적으로 발전해야 한다.
위와 같은 이유로 동적 자동화 시스템은 많은 수의 위협을 신속하게 식별하고 오탐을 최소화하는 등의 역할을 수행한다.
5. 디지털 포렌식적 분석
초기 단계에는 지속적인 감시가 포함되기 때문에 네트워크 전반에 걸쳐 생성된 많은 로그 데이터를 모니터링할 수 있는 솔루션이 필요하다.
포함 프로그램을 평가할 때 보안 사고를 식별하는 데 걸리는 시간을 측정하는 MTTD(평균 탐지 시간)와 사고 후 사고를 해결하는 데 걸리는 시간을 나타내는 MTTR(평균 응답 시간)이라는 두 가지 지표가 있는데, 지난 기간동안 탐지 기술은 발전하여 MTTD는 감소했지만 MTTR은 지속적으로 높았다는 결과가 있다. 이러한 문제 해결을 위해서는 SIEM을 통해 단일 중앙 집중식 이벤트 타임라인을 생성하고, 타임라인을 로그로 변환하여 분석 가능하도록 효율적인 대응을 할 수 있게 한다.
6. 보고, 감사 및 대시보드
SIEM 솔루션의 대시보드는 로그 데이터 분석의 사후 집계 및 정규화 단계에서 필수적인 역할을 한다. 다양한 소스에서 데이터를 수집한 후 SIEM 솔루션은 분석 결과를 대시보드를 통해 제공한다.
대표적인 SIEM 솔루션
- Splunk
- 빅데이터 분석과 강력한 대시보드 기능 제공
- IBM QRadar
- 실시간 분석과 이벤트 상관 분석이 강점
- LogRhythm
- 통합된 위협 탐지 및 대응 플랫폼 제공
- Azure Sentinel
- 클라우드 환경에 특화된 SIEM
참고
https://stellarcyber.ai/ko/learn/what-is-siem/
https://www.redhat.com/ko/topics/security/what-is-SIEM
