Nothing Special   »   [go: up one dir, main page]
Skip to content Skip to navigation Skip to footer
FAQ
정의
작동 방식
SIEM 공급업체 선택
포티넷 제품 및 서비스
FAQ

SIEM의 정의

보안 정보 및 이벤트 관리(SIEM) (SIEM)는 “ SIM (보안 정보 관리)과 SEM(보안 이벤트 관리) 기능을 하나의 보안 관리 시스템으로 결합하는 보안 관리에 대한 접근 방식”입니다. 

보안 정보 및 이벤트 관리(SIEM) 시스템은 신속한 사고 대응을 제한하는 세 가지 주요 문제를 해결합니다.

  1. 방대한 양의 집계되지 않은 보안 데이터는 무슨 일이 일어나고 있는지 확인하고 위협의 우선순위를 정하기 어렵게 만듭니다.
  2. IT 팀은 사이버 보안 기술 격차로 인해 인력이 부족하거나 교육이 부족합니다.
  3. 규정 준수를 입증해야 할 필요성은 위협 식별 및 대응에서 시간을 빼앗깁니다.
     

SIEM이 중요한 이유는 무엇입니까?

SIEM 시스템은 과중한 위협을 완화하는 기업에 매우 중요합니다. 평균적인 조직의 보안 운영 센터(SOC)하루에 10,000개 이상의 알림을 받고 150,000개 이상의 알림을 보고 있는 대기업의 경우, 대부분의 기업은 압도적인 수의 알림을 따라잡기에 충분한 보안 팀을 보유하고 있지 않습니다. 그러나 점점 더 지능적인 사이버 위협으로 인한 위험이 증가하면서 알림을 무시하는 것은 매우 위험합니다. 단일 알림은 주요 인시던트를 탐지 및 차단하고 완전히 누락하는 것의 차이를 의미할 수 있습니다. SIEM 보안은 알림을 분류하고 조사하는 보다 효율적인 수단을 제공합니다. SIEM 기술을 통해 팀은 보안 데이터의 풍요로움을 따라잡을 수 있습니다.

보안 정보 및 이벤트 관리(SIEM) (SIEM) 솔루션은 로그를 수집하고 다른 데이터와 함께 보안 이벤트를 분석하여 위협 탐지 속도를 높이고 보안 사고 및 이벤트 관리와 규정 준수를 지원합니다. 기본적으로 SIEM 기술 시스템은 여러 소스에서 데이터를 수집하여 위협에 대한 사고 대응을 가속화합니다. 이상이 감지되면 추가 정보를 수집하거나, 알림을 트리거하거나, 자산을 격리할 수 있습니다.

SIEM 기술은 전통적으로 규정 준수를 입증해야 하는 기업과 공공 기업에서 사용되었지만, 보안 정보 및 이벤트 관리(SIEM) 가 훨씬 더 강력하다는 것을 알게 되었습니다. 이후 SIEM 기술은 모든 규모의 조직을 위한 주요 위협 탐지 도구로 발전했습니다. 오늘날 위협의 정교함과 사이버 보안 기술 부족이 개선되지 않고 있다는 점을 고려할 때, 보안 정보 이벤트 관리를 통해 침해 및 기타 보안 우려 사항을 빠르고 자동으로 탐지하는 것이 중요합니다. SIEM 기능은 중소기업이 보안 및 이벤트 관리 솔루션을 배포하도록 유도하고 있습니다.

SIEM의 작동 방식

일부 조직은 여전히 “SIEM이 무엇을 하는가?”라고 궁금할 수 있습니다.  SIEM 기술은 서버,  최종 사용자 장치, 네트워킹 장비, 애플리케이션 및 보안 장치에서  보안 관련 정보를 수집합니다. 보안 이벤트 및 정보 관리(SIEM) 솔루션은 데이터를 범주로 분류하고, 잠재적 보안 문제가 식별되면 사전 설정된 정책에  따라 알림을 보내거나 다른 방식으로 대응할 수 있습니다. 네트워크 전체에서 수집된 데이터를 집계하고 분석하면 보안 팀이 큰 그림을 보고, 초기 단계에서 침해 또는 사고를 식별하고, 피해가 발생하기 전에 대응할 수 있습니다.

SIEM 시스템은 다음을 포함한 가능한 한 많은 소스에서 로그를 수집하고 해석합니다.

SIEM 시스템은 분석, 보고서 및 모니터링을 위해 이러한 로그에서 이벤트 데이터와 상황별 데이터를 모두 검토합니다. IT 팀은 이러한 결과를 바탕으로 보안 사고에 효과적이고 효율적으로 대응할 수 있습니다.

왜 SIEM인가: 중요한 이점?

보안 정보 및 이벤트 관리(SIEM) 솔루션은 주요 위협 탐지 기능, 실시간 보고, 규정 준수 도구 및 장기 로그 분석 제공합니다. 가장 큰 장점은 다음과 같습니다.

  • 보안 효율성 향상 및 위협에 대한 신속한 대응. 보안 및 이벤트 관리 솔루션이 유용하려면 “분석가가 개별 시스템의 데이터를 보면서 가능한 것보다 더 빠르고 효과적으로 의심스러운 행동 패턴을 식별하고 대응할 수 있어야 합니다.”  진정으로 효과적이려면 성공적인 침해를 방지할 수 있어야 합니다.

  • 효율적인 규정 준수 데모. 또한 SIEM IT 팀은 SIEM 기술을 통해 산업 및 정부 규정과 보안 표준 준수를 쉽게 추적하고 보고할 수 있어야 합니다.

  • 복잡성이 크게 감소했습니다. 여러 애플리케이션과 기기의 보안 이벤트 데이터를 통합하면 빠르고 포괄적인 분석이 가능합니다. 또한 반복적인 작업이 자동화되고 경험이 부족한 직원이 이전에 필요한 작업을 수행할 수 있습니다. 
SIEM의 장점
데모 구성안 보기

SIEM 공급업체 선택: 구매 가이드

Research and Markets의 최근 SIEM 보고서에 따르면, “글로벌 보안 정보 및 이벤트 관리(SIEM) 시장은 2018년에 25억 9천만 달러를 차지했으며, 2019~2027년 예측 기간 동안 10.4%의 CAGR로 성장하여 2027년까지 62억 4천만 달러로 성장할 것으로 예상됩니다.” 

빠르게 성장하는 이 시장은 경쟁이 치열하기 때문에 보안 정보 및 이벤트 관리(SIEM) 솔루션에서 무엇을 찾아야 하는지 아는 것이 중요합니다. 최소한 SIEM 솔루션은 다음을 수행할 수 있어야 합니다.

  • 모든 보안 장치에서 데이터 수집
  • 데이터 집계, 상관관계 파악 및 분석
  • 가능한 경우 자동화
  • 디바이스뿐만 아니라 비즈니스 서비스 모니터링

SIEM 솔루션을 선택할 때 정말 중요한 것에 대한 자세한 내용은 eBook을 참조하십시오.

대부분의 조직은 보안 정보 및 이벤트 관리(SIEM) 솔루션에서 단순한 기본 기능 이상을 원합니다. 다음 체크리스트는 투자수익률(ROI)을 극대화하는 특정 기능에 대한 지침을 제공합니다.

기존 보안 및 네트워크 아키텍처에 원활하게 통합

보안 아키텍처가 Fortinet Security Fabric하든, 멀티 벤더 환경을 기반으로 하든, 보안 정보 및 이벤트 관리(SIEM) 솔루션은 원활하게 통합되어야 합니다. 지역별 또는 산업별 보안 및 IT 장치를 포함하여 수많은 보안 및 IT 장치에서 데이터를 자동으로 검색하고 수집할 수 있어야 합니다.

처음에는 유연한 배포 옵션, 신속한 배포가 포함되어야 하며 광범위한 전문 서비스가 필요 없이 쉽게 사용자 지정할 수 있어야 합니다.

또한 이 솔루션은 비즈니스 성장에 따라 확장할 수 있어야 합니다.

높은 충실도의 우선순위 알림

이벤트 상관관계와 분석 없이는 통합된 데이터도 소중합니다. SIEM 솔루션은 데이터에서 도출해야 할 결론을 결정하기 위해 여러 가지 방법을 사용해야 합니다.

또한, 온프레미스와 퍼블릭/프라이빗 클라우드에서 물리적 인프라와 가상 인프라의 토폴로지를 자동으로 매핑하여 이벤트 분석을 위한 컨텍스트를 제공하는 지능형 인프라와 애플리케이션 검색 엔진을 사용하는 것이 중요합니다. 이렇게 하면 이 정보를 수동으로 추가할 때 발생할 수 있는 시간 낭비와 오류가 사라집니다.

또한, 상위 SIEM 솔루션은 사용자 ID를 네트워크(IP) 주소 및 장치와 연관시킬 것입니다. 이 이벤트 컨텍스트는 강력한 규칙 세트 및 고급 분석과 함께 위협 우선순위 지정을 지원하여 즉각적인 주의가 필요한 것을 플래그합니다. 따라서 관리자는 고위험 이벤트를 즉시 해결하고 저위험 이벤트를 자동 대응 프로세스로 오프로드할 수 있습니다.

자동화된 사고 완화

이상적인 SIEM 솔루션은 보안 오케스트레이션 자동화 및 대응(SOAR)을 사용하여 멀티 벤더 보안 장치를 통해 적절한 대응을 오케스트레이션합니다. 이벤트의 위험 및 복잡성 수준에 따라 자동으로 대응하거나 인간 운영자에게 알릴 수 있습니다. 이러한 유연성은 기업이 보안 데이터의 폭발적인 성장과 위협의 가속화에 직면했을 때 대응 속도와 인적 감독의 적절한 균형을 이룰 수 있도록 지원합니다.

단일 대시보드에서 고부가가치 비즈니스 통찰력 확보

일반적인 보안 정보 및 이벤트 관리(SIEM) 솔루션은 비즈니스 맥락에서 이벤트 정보를 제공하지 않습니다. 그러나 이는 매우 유용하며 포함되어야 합니다. 예를 들어, SIEM 대시보드는 해당 서비스를 지원하는 서버, 네트워킹 장비 및 보안 도구 등 개별 장치의 상태가 아니라 회사의 전자 상거래 서비스 상태를 표시하도록 구성할 수 있습니다. 이를 통해 보안 팀은 비즈니스 라인에 의미 있는 업데이트를 제공할 수 있습니다.

또는 보안 관리자는 특정 장치를 사용할 수 없거나 손상된 경우 어떤 비즈니스 서비스가 영향을 받을지 신속하게 확인할 수 있습니다. 가장 중요한 것은 한 명의 직원이 중앙 콘솔에서 모든 보안 정보 및 이벤트 관리(SIEM) 활동을 감독할 수 있다는 것입니다.

규정 준수 지원 보고

PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS 주요 제어 등 광범위한 규정 준수 감사 및 관리 요구 사항을 지원하는 사전 정의된 보고서가 있는 솔루션은 규정 준수 의무를 맡은 보안 팀에 도움을 줍니다. SIEM 보안 팀은 시간을 절약하고 규정 준수 교육을 최소화할 수 있습니다. 규정 및 보고 콘텐츠 요구 사항에 대한 심층적인 지식을 얻지 않고도 감사/보고 기한을 맞추는 것도 유리합니다. 

포티넷 제품 및 서비스

보안 관리는 더 많은 애플리케이션, 엔드포인트, IoT 장치, 클라우드 배포, 가상 머신 등이 네트워크에 추가됨에 따라 더욱 복잡해집니다. 이렇게 폭발적으로 증가하는 공격 면 보호하려면 모든 장치와 모든 인프라를 실시간으로 파악해야 합니다. 그러나 상황 정보도 필요합니다. 조직은 어떤 기기가 위협을 나타내는지, 어디에 있는지 알아야 합니다.

포티넷의 보안 정보 및 이벤트 관리(SIEM) 시스템인 FortiSIEM은 가시성, 상관관계, 자동 대응 및 복구를 하나의 확장 가능한 솔루션으로 통합합니다.

FortiSIEM은 네트워크 및 보안 운영 관리의 복잡성을 줄여 리소스를 효과적으로 확보하고, 침해 탐지를 개선하며, 심지어 침해를 예방합니다. 또한 포티넷의 아키텍처는 로그, 성능 지표, 보안 알림, 구성 변경 등 다양한 정보 소스에서 통합 데이터 수집 및 분석을 지원합니다.

FortiSIEM은 기본적으로 보안 운영 센터(SOC)와 네트워크 운영 센터(NOC)의 별도 사일로에서 기존에 모니터링된 분석을 결합하여 비즈니스의 보안과 가용성을 보다 전체적으로 파악합니다.

 IT 운영(ITOps) 및 IT 보안 정책에 대해 자세히 알아보십시오.

SIEM FAQ

SIEM이란?

SIEM 솔루션은 로그를 수집하고 다른 데이터와 함께 보안 이벤트를 분석하여 위협 탐지 속도를 높이고 보안 사고 및 이벤트 관리와 규정 준수를 지원합니다.

SIEM은 어떻게 작동합니까?

SIEM 기술은 서버, 최종 사용자 장치, 네트워킹 장비, 애플리케이션, 보안 장치에서 보안 관련 정보를 수집합니다. 

SIEM의 이점은 무엇입니까?

SIEM 솔루션은 주요 위협 탐지 기능, 실시간 보고, 규정 준수 도구 및 장기 로그 분석 제공합니다. 

사이버 보안 리소스

참고자료

전문가와 상담하기

양식을 작성해주시면 전문 담당자가 연락을 드릴 것입니다.