저기 정글이야! 악의가있는 개인은 어디에나 있으며 당신을 쫓고 있습니다. 아마 당신은 개인적으로가 아니라 당신의 데이터 일 것입니다. 더 이상 바이러스를 보호해야하는 것은 아니지만 심각한 상황에서 네트워크와 조직을 떠날 수있는 모든 종류의 공격입니다. 안티 바이러스, 방화벽 및 침입 탐지 시스템과 같은 다양한 보호 시스템의 확산으로 인해 네트워크 관리자는 이제 상호 관련이 있어야하는 정보로 인해이를 이해하려고합니다. SIEM (Security Information and Event Management) 시스템이 유용합니다. 너무 많은 정보를 다루는 대부분의 끔찍한 작업을 처리합니다. SIEM을보다 쉽게 선택할 수 있도록 SIEM (Security Information and Event Management) 도구를 제공합니다.
오늘, 우리는현대 위협 장면. 우리가 말했듯이 더 이상 바이러스가 아닙니다. 그런 다음 SIEM이 무엇인지 정확하게 설명하고 SIEM 시스템을 구성하는 다양한 구성 요소에 대해 이야기합니다. 그들 중 일부는 다른 것보다 더 중요 할 수 있지만 상대적 중요성은 사람들마다 다를 수 있습니다. 마지막으로 6 가지 최고의 SIEM (Security Information and Event Management) 도구를 선택하고 각 도구를 간략하게 검토하겠습니다.
현대 위협 현장
컴퓨터 보안은 바이러스에 관한 것이 었습니다.보호. 그러나 최근 몇 가지 다른 종류의 공격이 발견되었습니다. 서비스 거부 (DoS) 공격, 데이터 도난 등의 형태를 취할 수 있습니다. 그리고 그들은 더 이상 외부에서 나오지 않습니다. 많은 공격이 네트워크 내에서 시작됩니다. 따라서 최고의 보호를 위해 다양한 유형의 보호 시스템이 개발되었습니다. 예를 들어 기존 안티 바이러스 및 방화벽 외에도 침입 탐지 및 데이터 손실 방지 시스템 (IDS 및 DLP)이 있습니다.
물론 시스템을 많이 추가할수록 더 많이당신이 그들을 관리하는 일. 각 시스템은 비정상적인 특정 매개 변수를 모니터링하고 발견 될 때이를 기록 및 / 또는 경고합니다. 이러한 모든 시스템의 모니터링을 자동화 할 수 있다면 좋지 않습니까? 또한 일부 유형의 공격은 여러 단계를 거치면서 여러 시스템에서 탐지 될 수 있습니다. 모든 관련 이벤트에 하나의 응답으로 응답 할 수 있다면 훨씬 나을까요? 이것이 바로 SIEM의 핵심입니다.
SIEM이란 무엇입니까?
이름이 다 나와 있습니다. 보안 정보 및 이벤트 관리는 보안 정보 및 이벤트를 관리하는 프로세스입니다. 구체적으로 SIEM 시스템은 보호 기능을 제공하지 않습니다. 주요 목적은 네트워크 및 보안 관리자의 삶을보다 쉽게 만드는 것입니다. 전형적인 SIEM 시스템이 실제로하는 일은 다양한 보호 및 탐지 시스템에서 정보를 수집하고 관련 이벤트를 조립하는이 모든 정보를 상관 시키며 다양한 방식으로 의미있는 이벤트에 반응하는 것입니다. SIEM 시스템에는 종종 일부 형태의보고 및 대시 보드가 포함됩니다.
SIEM 시스템의 필수 구성 요소
우리는 각각 더 자세히 살펴 보려고합니다.SIEM 시스템의 주요 구성 요소. 모든 SIEM 시스템에 이러한 구성 요소가 모두 포함되어있는 것은 아니며 구성 요소가 다른 경우에도 기능이 다를 수 있습니다. 그러나 이들은 어떤 SIEM 시스템에서든 어떤 형태로든 찾을 수있는 가장 기본적인 구성 요소입니다.
로그 수집 및 관리
로그 수집 및 관리가 주요모든 SIEM 시스템의 구성 요소. 그것 없이는 SIEM이 없습니다. SIEM 시스템은 다양한 소스에서 로그 데이터를 수집해야합니다. 잡아 당기거나 다른 탐지 및 보호 시스템이 SIEM으로 밀어 넣을 수 있습니다. 각 시스템에는 데이터를 분류하고 기록하는 고유 한 방법이 있으므로 소스의 종류에 관계없이 데이터를 정규화하고 균일하게 만드는 것은 SIEM에 달려 있습니다.
정규화 후 기록 된 데이터는 종종악의적 인 동작을 가능한 빨리 인식하기 위해 알려진 공격 패턴과 비교합니다. 또한 비정상적인 활동 탐지를 더욱 향상시키는 기준을 구축하는 데 도움이되도록 이전에 수집 한 데이터와 데이터를 비교하는 경우가 많습니다.
이벤트 응답
이벤트가 감지되면 무언가를 수행해야합니다.그것에 대해. 이것이 바로 SIEM 시스템의 이벤트 응답 모듈입니다. 이벤트 응답은 다른 형식을 취할 수 있습니다. 가장 기본적인 구현에서는 시스템 콘솔에 경고 메시지가 생성됩니다. 전자 메일 또는 SMS 경고도 생성 될 수 있습니다.
그러나 최고의 SIEM 시스템은 한 걸음 더 나아가고종종 치료 프로세스를 시작합니다. 다시, 이것은 많은 형태를 취할 수있는 것입니다. 최상의 시스템에는 원하는 대응을 정확하게 제공하도록 사용자 정의 할 수있는 완벽한 사고 대응 워크 플로우 시스템이 있습니다. 예상 한대로 인시던트 대응은 일정하지 않아도되며 다른 이벤트는 다른 프로세스를 트리거 할 수 있습니다. 최상의 시스템을 통해 사고 대응 워크 플로우를 완벽하게 제어 할 수 있습니다.
보고
로그 수집 및 관리가 완료되면대응 시스템이 갖추어져 있으면 다음으로 필요한 빌딩 블록이보고됩니다. 아직 알지 못할 수도 있지만 보고서가 필요합니다. 최고 경영진은 SIEM 시스템에 대한 투자가 성과를 내고 있음을 스스로 확인해야합니다. 적합성 목적으로 보고서가 필요할 수도 있습니다. SIEM 시스템이 적합성 보고서를 생성 할 수 있으면 PCI DSS, HIPAA 또는 SOX와 같은 표준을 쉽게 준수 할 수 있습니다.
보고서는 SIEM 시스템의 핵심이 아닐 수 있습니다그러나 여전히 하나의 필수 구성 요소입니다. 그리고 종종보고는 경쟁 시스템의 주요 차별화 요소가 될 것입니다. 보고서는 사탕과 같으므로 너무 많을 수 없습니다. 물론 최고의 시스템을 통해 사용자 정의 보고서를 작성할 수 있습니다.
대시 보드
마지막으로 대시 보드는SIEM 시스템의 상태를 확인하십시오. 또한 여러 개의 대시 보드가있을 수도 있습니다. 사람들마다 우선 순위와 관심사가 다르기 때문에 네트워크 관리자를위한 완벽한 대시 보드는 보안 관리자와는 다릅니다. 그리고 경영진은 완전히 다른 것이 필요합니다.
우리는 SIEM 시스템을 평가할 수 없지만대시 보드의 개수가 많으면 필요한 모든 대시 보드가있는 대시 보드를 선택해야합니다. 벤더를 평가할 때 명심해야 할 사항입니다. 보고서와 마찬가지로 최상의 시스템을 통해 원하는대로 맞춤형 대시 보드를 구축 할 수 있습니다.
6 가지 SIEM 툴
많은 SIEM 시스템이 있습니다. 실제로 여기에서 모두 검토 할 수 없을 정도로 너무 많습니다. 따라서 시장을 검색하고 시스템을 비교하고 6 가지 최고의 SIEM (Security Information and Management) 도구 인 목록을 작성했습니다. 우선 순위대로 나열하고 있으며 각 항목을 간략하게 검토하겠습니다. 그러나 그들의 순서에도 불구하고, 6 가지 모두 훌륭한 시스템이며 우리는 당신이 직접 시도해 볼 것을 권장합니다.
6 가지 SIEM 툴은 다음과 같습니다.
- SolarWinds 로그 및 이벤트 관리자
- Splunk Enterprise 보안
- RSA NetWitness
- ArcSight 엔터프라이즈 보안 관리자
- McAfee 엔터프라이즈 보안 관리자
- IBM QRadar SIEM
1. SolarWinds 로그 및 이벤트 관리자 (30 일 무료 평가판)
SolarWinds는 네트워크에서 일반적인 이름입니다세계 모니터링. 주력 제품인 Network Performance Monitor는 사용 가능한 최고의 SNMP 모니터링 도구 중 하나입니다. 이 회사는 서브넷 계산기 또는 SFTP 서버와 같은 수많은 무료 도구로도 유명합니다.
로그 및 이벤트 관리자 인 SolarWinds의 SIEM 도구(LEM)은 엔트리 레벨 SIEM 시스템으로 가장 잘 설명됩니다. 그러나 시장에서 가장 경쟁력있는 엔트리 레벨 시스템 중 하나 일 수 있습니다. SolarWinds LEM에는 SIEM 시스템에서 기대할 수있는 모든 것이 있습니다. 뛰어난 긴 관리 및 상관 관계 기능과 인상적인보고 엔진이 있습니다.
도구의 이벤트 응답 기능은원하는 것은 남겨 두지 마십시오. 상세한 실시간 대응 시스템은 모든 위협에 능동적으로 대응합니다. 또한 서명이 아닌 행동을 기반으로하므로 알려지지 않았거나 미래의 위협으로부터 보호됩니다.
하지만 도구의 대시 보드가 가장 좋습니다유산. 단순한 디자인으로 이상을 빠르게 식별하는 데 어려움이 없습니다. 약 4,500 달러부터 시작하는이 도구는 저렴한 가격 이상입니다. 먼저 시험해보고 싶다면 30 일 무료 평가판을 무료로 다운로드 할 수 있습니다.
2. Splunk Enterprise 보안
아마도 가장 인기있는 SIEM 시스템 중 하나 일 것입니다.Splunk Enterprise Security 또는 Splunk ES는 흔히 분석 기능으로 유명합니다. Splunk ES는 시스템 데이터를 실시간으로 모니터링하여 취약점과 비정상적인 활동 징후를 찾습니다.
보안 대응은 Splunk ES의 강력한 기능 중 하나입니다.양복들. 이 시스템은 Splunk가 55 개 이상의 보안 공급 업체의 장비와 통합하는 ARF (Adaptive Response Framework)라고하는 것을 사용합니다. ARF는 자동 응답을 수행하여 수동 작업 속도를 높입니다. 이렇게하면 빠르게 손을 잡을 수 있습니다. 간단하고 깔끔한 사용자 인터페이스를 추가하면 성공적인 솔루션이됩니다. 다른 흥미로운 기능으로는 사용자 정의 가능한 경고를 표시하는 Notables 기능과 악성 활동을 표시하고 추가 문제를 방지하기위한 Asset Investigator가 있습니다.
Splunk ES는 진정한 엔터프라이즈 급 제품입니다엔터프라이즈 크기의 가격표가 제공됩니다. Splunk 웹 사이트에서 가격 정보를 얻을 수도 없습니다. 가격을 얻으려면 영업 부서에 문의해야합니다. 가격에도 불구하고이 제품은 훌륭한 제품이므로 Splunk에 문의하여 무료 평가판을 이용할 수 있습니다.
3. RSA NetWitness
NetWitness는 20016 년부터 제품에 주력해 왔습니다."심층적 인 실시간 네트워크 상황 인식 및 민첩한 네트워크 응답"지원. EMC가 인수 한 후 Dell과 합병 한 Newitness 비즈니스는 이제 RSA 지사의 일부입니다. RSA는 보안 분야에서 유명한 이름입니다.
RSA NetWitness는 다음을 추구하는 조직에 이상적입니다완벽한 네트워크 분석 솔루션. 이 도구는 비즈니스 우선 순위 정보를 제공하여 경고의 우선 순위를 정합니다. RSA에 따르면이 시스템은 "다른 SIEM 솔루션보다 더 많은 캡처 지점, 컴퓨팅 플랫폼 및 위협 인텔리전스 소스에서 데이터를 수집합니다". 행동 분석, 데이터 과학 기술 및 위협 인텔리전스를 결합한 고급 위협 탐지 기능도 있습니다. 마지막으로, 고급 대응 시스템은 오케스트레이션 및 자동화 기능을 갖추고있어 비즈니스에 영향을 미치기 전에 위협을 제거 할 수 있습니다.
RSA NetWitness의 주요 단점 중 하나는사용하고 구성하는 것이 가장 쉬운 방법은 아닙니다. 그러나 제품 설정 및 사용에 도움이되는 포괄적 인 설명서가 있습니다. 이것은 또 다른 엔터프라이즈 급 제품이므로 가격 정보를 얻으려면 영업팀에 문의해야합니다.
4. ArcSight 엔터프라이즈 보안 관리자
ArcSight Enterprise Security Manager가 도움을줍니다보안 위협을 식별하고 우선 순위를 지정하고 사고 대응 활동을 구성 및 추적하며 감사 및 규정 준수 활동을 단순화합니다. 이전에는 HP 브랜드로 판매되었으며 이제 다른 HP 자회사 인 Micro Focus와 합병되었습니다.
15 년 넘게 살아 왔지만ArcSight는 매우 인기있는 SIEM 툴입니다. 다양한 소스의 로그 데이터를 컴파일하고 광범위한 데이터 분석을 수행하여 악의적 인 활동의 징후를 찾습니다. 위협을 신속하게 식별하기 위해 real0tme 분석 결과를 볼 수 있습니다.
다음은 제품 주요 기능에 대한 요약입니다. 강력한 분산 실시간 데이터 상관 관계, 워크 플로우 자동화, 보안 오케스트레이션 및 커뮤니티 중심 보안 컨텐츠를 갖추고 있습니다. Enterprise Security Manager는 ArcSight Data Platform 및 Event Broker 또는 ArcSight Investigate와 같은 다른 ArcSight 제품과도 통합됩니다. 이 제품은 거의 모든 고품질 SIEM 도구와 같은 엔터프라이즈 급 제품으로 가격 정보를 얻으려면 ArcSight 영업 팀에 문의해야합니다.
5. McAfee Enterprise Security Manager
McAfee는 확실히보안 산업. 그러나 바이러스 차단 제품으로 더 잘 알려져 있습니다. Enterprise Security Manager는 단순한 소프트웨어가 아닙니다. 실제로 기기입니다. 가상 또는 물리적 형태로 얻을 수 있습니다.
분석 기능 측면에서McAfee Enterprise Security Manager는 많은 사람들에게 최고의 SIEM 도구 중 하나로 간주됩니다. 이 시스템은 광범위한 장치에서 로그를 수집합니다. 정규화 기능은 최고 수준입니다. 상관 관계 엔진은 서로 다른 데이터 소스를 쉽게 컴파일하여 보안 이벤트가 발생할 때이를 쉽게 감지 할 수 있습니다.
사실, McAfee 솔루션에는 더 많은 것이 있습니다엔터프라이즈 보안 관리자 만이 아닙니다. 완벽한 SIEM 솔루션을 얻으려면 Enterprise Log Manager 및 Event Receiver도 필요합니다. 다행히 모든 제품을 단일 어플라이언스에 패키징 할 수 있습니다. 제품을 구매하기 전에 시험해보고 싶을 경우 무료 평가판을 사용할 수 있습니다.
6. IBM QRadar
IBM, 아마도 IT에서 가장 잘 알려진 이름업계에서 SIEM 솔루션을 구축 한 IBM QRadar는 시장에서 가장 우수한 제품 중 하나입니다. 이 도구를 사용하면 보안 분석가가 이상을 탐지하고, 고급 위협을 발견하고, 오 탐지를 실시간으로 제거 할 수 있습니다.
IBM QRadar는 일련의 로그 관리, 데이터를 자랑합니다수집, 분석 및 침입 탐지 기능. 또한 네트워크 인프라를 지속적으로 가동시킵니다. 잠재적 인 공격을 시뮬레이션 할 수있는 위험 모델링 분석도 있습니다.
QRadar의 주요 기능 중 일부는온 프레미스 또는 클라우드 환경에 솔루션을 배포합니다. 이 솔루션은 모듈 식 솔루션이며 처리 성능을 더 빠르고 저렴하게 추가 할 수 있습니다. 이 시스템은 IBM X-Force의 지능 전문 지식을 사용하며 수백 개의 IBM 및 비 IBM 제품과 완벽하게 통합됩니다.
IBM은 IBM이기 때문에 SIEM 솔루션에 대해 프리미엄 가격을 지불 할 것으로 예상 할 수 있습니다. 그러나 시장에서 최고의 SIEM 툴 중 하나가 필요한 경우 QRadar는 투자 가치가 있습니다.
결론적으로
쇼핑 할 때 발생할 수있는 유일한 문제최상의 SIEM (Security Information and Event Monitoring) 도구는 풍부한 옵션이 풍부합니다. 우리는 방금 최고 6 명을 소개했습니다. 그들 모두는 훌륭한 선택입니다. 당신이 선택하는 것은 당신의 정확한 요구, 예산 및 당신이 그것을 세우고 자하는 시간에 크게 좌우 될 것입니다. 아아, 초기 구성은 항상 가장 어려운 부분이며 SIEM 도구가 올바르게 구성되지 않으면 제대로 작동하지 않을 수 있습니다.
텍스트 50 – 2300
코멘트