1. SIEM 개요
- SIEM (Security Information & Event Management): 로그와 이벤트를 수집·분석해 잠재적 보안 위협과 취약점을 실시간으로 탐지하고 대응을 돕는 보안 솔루션
- 역할: 통합 보안 관제 솔루션 또는 빅데이터 보안 분석 시스템 역할 수행
- 특징: 대량 로그 수집, 상관분석, 경보 생성, 포렌식 지원
2. SIEM 배포 형태
- 온프레미스(On-Premises): 조직 내부에 서버·스토리지·네트워크 장비를 두고 직접 운영·관리하는 방식
- 클라우드 기반: 매니지드 서비스나 클라우드 네이티브 스택을 활용해 운영 비용과 유지보수 부담을 낮출 수 있음
- 도입 고려사항: 초기 세팅과 적응에 시간과 비용이 많이 소요됨
3. AWS OpenSearch 기반 SIEM
- OpenSearch: ElasticSearch에서 갈라진 오픈소스 버전으로 AWS에서 OpenSearch Service 형태로 제공됨
- 용도: 대량 데이터 검색·집계·분석에 적합해 SIEM 저장소 및 분석 엔진으로 활용 가능
- 장점: Kinesis, CloudWatch, Lambda, S3 등 AWS 서비스와 자연스럽게 연동해 로그 파이프라인 구성에 유리함
- 주의사항: 프리티어 및 요금 정책은 수시로 변경될 수 있으니 과금 발생 방지 위해 반드시 정책 이중 확인 필요
4. OpenSearch 도메인 및 인프라 구성
- 도메인(Domain): 하나의 OpenSearch 클러스터 단위로 인스턴스 타입, 노드 수, 스토리지, 보안 설정 등을 정의
- 인스턴스 구성 예시: 데이터 노드, 마스터 노드, UltraWarm 노드 등으로 역할 분리 가능
- 가용 영역(AZ): 리전 내 여러 AZ에 분산 배포해 장애 시 고가용성 확보
- 보안 관련: 퍼블릭 액세스 설정, 마스터 사용자 설정, 액세스 정책 등으로 접근 제어 구성 필요
5. 운영 및 관리 포인트
- 도메인 생성 시 인스턴스 수·타입·스토리지 용량을 신중히 설계해 비용과 성능 균형 맞추기
- 액세스 정책과 마스터 사용자 설정으로 인증·권한 관리를 엄격히 적용하기
- 로그 수집 파이프라인은 AWS 서비스와 연동해 자동화 처리 권장
- 모니터링 지표와 보존 정책(retention)을 사전에 정의해 스토리지 과금 통제하기
6. IaC와 자동화
- AWS CloudFormation: 인프라를 코드로 정의해 자동 생성·수정·삭제를 수행하는 IaC 서비스
- 장점: 수동 콘솔 클릭 없이 일관된 배포 가능, 보안 설정도 코드로 관리 가능
- 활용: SIEM 환경 구성, OpenSearch 도메인 생성, WAF 연동 등 반복적 인프라를 코드로 자동화
7. SIEM + WAF 구성
- SIEM과 WAF를 결합해 웹 공격 로그를 중앙에서 수집·분석하고 차단 정책 개선에 활용 가능
- CloudFormation + OpenSearch 조합으로 SIEM + WAF 스택을 자동화해 배포 가능
