보안 정보 및 이벤트 관리

Security information and event management
시리즈의 일부
정보 보안
vectorial version
관련 보안 카테고리
위협
방어.

보안정보 및 이벤트 관리(SIEM)는 컴퓨터 보안 분야의 분야로, 소프트웨어 제품과 서비스가 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)를 결합합니다.애플리케이션 및 네트워크 하드웨어에 의해 생성되는 보안 경보의 실시간 분석을 제공합니다.공급업체는 SIEM을 소프트웨어, 어플라이언스 또는 관리 서비스로 판매합니다. 이러한 제품은 컴플라이언스를 [1]위해 보안 데이터를 기록하고 보고서를 생성하는 데도 사용됩니다.SIEM이라는 용어와 [2]이니셜리즘은 2005년 Gartner의 Mark Nicolett와 Amrit Williams에 의해 만들어졌습니다.

역사

복잡한 사이버 공격으로 인해 컴플라이언스 및 규제 메커니즘이 리스크 관리 프레임워크 내에서 보안 제어 로깅을 의무화함에 따라 시스템 로그 모니터링이 더욱 보편화되고 있습니다.시스템의 로깅레벨은 시스템오류 트러블 슈팅 또는 코드 디버깅의 주요 기능에서 시작되어 컴파일되어 실행됩니다.운영 체제와 네트워크가 복잡해짐에 따라 이러한 시스템의 이벤트 및 로그 생성도 복잡해졌습니다.이에 비해 시스템, 보안 및 응용 프로그램로그 로깅만이 사고 대응을 실행하는 유일한 방법은 아닙니다.특정 기간 동안 거의 모든 시스템 또는 사용자 관련 이동의 활동을 추적할 수 있는 기능을 제공합니다.1970년대 후반부터 감사 및 모니터링 프로그램 관리 기준과 내부 위협, 사고 대응 및 문제 해결에 시스템 로그를 사용할 수 있는 방법과 방법을 확립하기 위한 작업 그룹이 구성되었습니다.이는 또한 현대 사이버 보안에서 여전히 사용되는 많은 개념에 대한 기초적인 논의를 확립했다.1977년에 [3]발행된 미국 국립표준기술연구소(NIST) 특별출판물 500-19의 컴퓨터 보안 감사 및 평가 근거를 참조하십시오.

리스크 관리 프레임워크(RMF)가 전 세계에서 거의 모든 업종에서 구현되고 있기 때문에 감사와 감시는 정보 보증과 정보 보안의 핵심 요소입니다.정보 보증 담당자, 사이버 보안 엔지니어 및 분석가는 로깅 정보를 사용하여 중요한 보안 기능을 실시간으로 수행할 수 있습니다.이러한 항목은 분석 작업의 기준으로 감사와 감시를 통합하거나 사용하는 거버넌스 모델에 의해 주도된다.1990년대 후반에 정보보증이 성숙하여 2000년대에 들어서면서 시스템 로그의 일원화가 필요하게 되었습니다.이것에 의해, 레코드를 일원적으로 배치해 표시할 수 있어 특정 네트워크상의 모든 머신의 「신경 센터」로서 일원 관리할 수 있습니다.

이러한 시스템 데이터의 일원화 및 통합은 단순히 전체적인 관점만을 제공하는 것이 아닙니다.그러나 이제 조직은 로그 데이터를 운영상의 사용 사례에 사용할 수 있으며 성능 및 네트워킹 기반 통신 문제 해결을 지원할 수 있습니다.Security Information and Event Management(SIEM; 보안정보 및 이벤트 관리)는 현재 일반화되어 있으며 이 문서에서는 동일한 약자의 명백한 변형이 있습니다.SIEM이라는 단어는 주로 모든 로그가 한 곳에 강제적으로 배치되어 보안 및 네트워크 운영에서 분석을 수행할 수 있는 단일 창을 제공합니다.

미국 국립표준기술연구소(National Institute of Standards and Technology)는 보안정보 이벤트 관리(SIEM)에 대해 다음과 같은 정의를 제공합니다. "정보 시스템 컴포넌트에서 보안 데이터를 수집하고 단일 인터페이스를 통해 [4]해당 데이터를 실행 가능한 정보로 표시할 수 있는 기능을 제공하는 애플리케이션입니다.정보보증은 시스템 로깅을 위한 강제적인 기능이 되었습니다.시스템 로깅을 통해 시스템액션을 수행하기 위해 사용되는 시스템상의 계정에 대한 트레이서빌리티를 유효하게 할 수 있습니다.SIEM은 운영 체제와 함께 시스템 로그를 인덱싱하고 구문 분석할 수 있으며 검색에 사용할 수 있습니다.

2021년 5월 17일, 미국 대통령 조셉 바이든은 국가 사이버 [5]보안 개선 행정 명령 14028에 서명했습니다.이 행정명령에서는 엔드포인트 보호, 로깅 요건 추가 정의, 감사 로그 통합 구현 및 시스템 및 계정 액션을 보다 정확하게 파악할 수 있는 기능 강화가 의무화되어 있습니다.감사 로그는 3개의 개별 기술 영역에서 식별되었으며, 모두 사고 대응과 특정 시간에 시스템에서 무슨 일이 일어나고 있는지 알고 있습니다.본 행정명령은 랜섬웨어를 사용하여 국가 안보 및 공공과 관련된 중요한 인프라스트럭처 컴포넌트를 무력화시키는 사이버 공격의 증가에 대응합니다.리스크 관리 프레임워크의 일부로서 기존의 정보 보증 보안 제어를 강화하는 것은, 이러한 대통령의 요건에 근거해 컴플리언스를 강제해, 자금 조달을 정당화하기 위한 적절한 메카니즘입니다.

보안정보 및 이벤트 관리(SIEM) 및 정보 보증

2006년 9월에 발행된 NIST SP 800-92 Guide to Computer Security Log Management는 NIST 리스크 관리 프레임워크에서 감사 가능한 항목에 사용되는 주요 문서입니다.이 가이던스는 2006년 이후 테크놀로지에 중대한 변화가 있었기 때문에 확정적이거나 포괄적인 것은 아니지만, 이 문서가 여전히 관련성이 있기 때문에 업계의 성장을 예측하고 있습니다.이 문서에서는 "SIEM"[6][7]이라는 용어가 언급되지 않았듯이 오늘날 잘 알려진 많은 최신 SIEM 기술을 미리 소개합니다. 개별 호스트 기반 검사를 중앙 집중화하지 않고 SIEM 솔루션을 사용하도록 권장하는 감사 및 모니터링 규제 메커니즘에 대한 지침은 NIST뿐만이 아닙니다.NIST의 벌목 지도와 요구 사항을 준수할 수도 있고(건강 정보 관련 법률)[10]몇몇이고 민관 기관 연방 정보 보안 관리 법 2002년(FISMA)[8]그램 리치 바일리 법(GLBA)[9]의료 보험 이전과 책임 법 1996년 2002,[11]형 지불 카드 산업 데이터의 사베인 즈옥 슬리 법(SOX)를 식별합니다.안전 보장 코스는ndard(PCI DSS)[12] 및 International Organization for Standardization(ISO; 국제표준화기구) 27001.[13]공공 및 민간 조직에서 NIST 문서가 참조되는 것은 드문 일이 아니다.

NIST SP 800-53 AU-2 이벤트 모니터링은 로깅 기능을 [14]활성화하여 시스템 전체의 모든 감사에 대한 정보 보증 프로세스를 지원하기 위한 핵심 보안 제어입니다.AU-2 이벤트 모니터링은 네트워크 전체의 정보 보증 및 사이버 보안 엔지니어링 작업을 지속적으로 모니터링하기 위한 중요한 기반이기도 합니다.SIEM 솔루션이 이러한 작업을 지원하기 위한 핵심 툴 또는 툴 스위트로 사용될 것으로 예상됩니다.시스템의 기밀성, 무결성, 가용성(CIA)에 대한 영향에 관한 시스템 분류에 따라 일반적으로 연방 시스템의 기본 로깅 요건을 충족하기 위해 필요한 5가지 특정 요건이 있습니다(AU-2, a-e).[15][16]SIEM 인프라 및 운영에 대한 보안 제어 요구 사항을 이해하는 것이 중요합니다.AU-2의 보안 제어 요건을 다음에 나타냅니다.

[ Assignment : organization - defined ... ](할당: 조직 정의...)는 기업에 적합한 항목을 결정하기 위해 공백으로 둡니다.행정명령 14028은 모든 [17]연방기관에서 입력을 통일하는 것을 목표로 하고 있다.

a. 감사기능을 지원하기 위해 시스템이 로깅할 수 있는 이벤트 유형을 식별합니다.[할당: 시스템이 로깅할 수 있는 조직 정의 이벤트 유형]

b. 이벤트 기록 기능을 감사 관련 정보를 필요로 하는 다른 조직 주체와 조정하여 기록할 이벤트의 선택 기준을 안내하고 통지한다.

c. 시스템 내 로깅을 위한 다음 이벤트유형을 지정합니다.[할당: 조직정의 이벤트유형(AU-2a에서 정의된 이벤트유형의 서브셋)과 식별된 각 이벤트유형의 로깅 빈도(또는 상황이 필요한 경우)를 지정합니다.

d. 로깅을 위해 선택된 사건 유형이 사고의 사후 조사를 지원하는 데 적합한 이유에 대한 근거를 제공한다.

e. 로깅을 위해 선택한 이벤트 유형을 검토하고 업데이트합니다 [할당: 조직 정의 빈도].[14]

시스템상의 이벤트에는 자격 정보 변경, 액세스 시도 실패, 계정에 대한 역할 기반 또는 속성 변경, 토큰 기반 사용, 액세스 시도 및 실패 등이 포함될 수 있습니다.시스템에 대한 모든 시스템 액션을 기록할 수 있지만 로그의 양이나 실행 가능한 보안 관련 데이터에 따라서는 권장되지 않는 경우가 많습니다.조직에서는 특정 보안 감사 요건을 요구하거나 상세하게 요구하는 기타 제어를 준수하면서 AU-2 a~e를 구축하기 위한 기반으로 사용할 수 있습니다.NIST SP 800-53 SI-4 시스템 모니터링은 [18][7]시스템의 모니터링을 지정하는 보안 제어입니다.이 모니터링은 시스템을 모니터링하는 시스템을 모니터링하는 데 초점이 맞춰져 있습니다.여기에는 이벤트와 이상 징후, 멀웨어, 연결 및 공격 또는 잠재적인 [18]공격의 징후를 탐지하는 데 사용되는 기타 관련 메커니즘이 모두 포함됩니다.

a. 탐지할 시스템을 모니터링합니다.

  • 1. 다음 감시목표에 따른 공격 및 공격가능성 지표 [할당: 조직정의 감시목표]
  • 2. 로컬, 네트워크 및 리모트 접속이 허가되지 않은 경우

b. 다음 기술 및 방법을 통해 시스템의 부정 사용을 특정한다.[할당: 조직이 정한 기술 및 방법]

c. 내부 모니터링 기능을 호출하거나 모니터링 장치를 배포합니다.

  • (1) 조직이 정한 필수 정보를 수집하기 위한 전략적인 시스템 내
  • (2) 조직의 특정 유형의 관심 트랜잭션을 추적하기 위한 시스템 내의 임시 위치

d. 검출된 이벤트와 이상을 분석한다.

e. 조직 운영 및 자산, 개인, 기타 조직 또는 국가에 위험이 변경되었을 때 시스템 모니터링 활동의 수준을 조정한다.

f. 시스템 모니터링 활동에 대한 법적 의견을 구한다.

g. [배정: 조직정의 시스템 감시정보]를 [배정: 조직정의 담당자 또는 역할][선택(1명 이상): 필요에 따라 [배정: 조직정의 빈도][18]에 제공한다.

NIST SP 800-53 RA-10 Threat Hunting은 NIST 800-53에 추가된 새로운 기반 보안 제어로, 최신 버전 5 편집 및 [19][7]출판물을 제공합니다.위협 헌팅은 모든 보안 정보를 결합하여 능동적으로 위협을 탐지함으로써 네트워크를 능동적으로 방어하는 것입니다.작업을 수행하려면 분석가 및 엔지니어가 정보의 저장소가 필요하며, SIEM 솔루션은 일반적으로 모든 시스템 로그가 중앙 집중식 위치로 전송되기 때문에 허브로 사용됩니다.위협 사냥 팀은 이 접근 방식에 국한되지 않습니다.그러나 SIEM 솔루션은 상당한 양의 보안 관련 [20]데이터를 제공해야 합니다.

a. 다음을 위한 사이버 위협 탐지 기능을 구축하고 유지합니다.

  • 1. 조직 시스템의 타협 지표 검색
  • 2. 기존 제어를 회피하는 위협 검출, 추적 및 중단

b. 위협 탐지 기능을 사용합니다(할당: 조직 정의 빈도).

NIST SP 800-53 R5와 AU-2, SI-4 및 RA-10의 간략한 설명은 [21]SIEM을 통한 경보 및 모니터링, 개별 제어가 어떻게 사건의 중요한 요소로 사용되는지를 보여준다.이러한 제어장치는 NIST가 제공하는 다른 기술적 보안 제어장치와 결합되어 심층적인 방어시스템을 통합한다.시스템 보안의 보증은 다양한 리스크 평가와 지속적인 모니터링을 통해 이루어집니다.종종 사이버 보안 팀 전체에서 사용되는 SIEM 제품을 통해 강화 또는 합리화됩니다.모니터링해야 할 특정 항목을 개략적으로 설명하는 기술 제어가 더 많이 있습니다.식별된 컨트롤은 이벤트 및 감사 수집 기능과 SIEM 도구에서의 사용에 직접 관련된 컨트롤을 대충 간과한 것입니다.

용어.

SEM, SIM SIEM이라는 두문자어는 때때로 [22]서로 바꾸어 사용되기도 하지만 일반적으로 다음과 같은 제품의 주요 초점을 달리합니다.

  • 로그 관리:로그 메시지 및 감사[23] 추적의 단순한 수집 및 저장에 중점을 둔다.
  • 보안 정보 관리(SIM): 로그 [24]데이터의 장기 저장 및 분석 및 보고서 작성.
  • 보안 이벤트 매니저(SEM): 실시간 감시, 이벤트 상관관계, 알림 및 콘솔 뷰.
  • 보안정보이벤트 관리(SIEM): SIM과 SEM을 조합하여 네트워크 하드웨어 및 애플리케이션에 [1][25]의해 생성되는 보안 경보를 실시간으로 분석합니다.
  • 관리 보안 서비스: (MSS) 또는 관리 보안 서비스 공급자: (MSSP):가장 일반적인 관리 서비스는 연결 및 대역폭, 네트워크 모니터링, 보안, 가상화 및 재해 복구를 중심으로 발전하는 것으로 보입니다.
  • 서비스로서의 보안(SECaaS):이러한 보안 서비스에는 인증, 바이러스 대책, 악성 프로그램/스파이웨어 대책, 침입 탐지, 침입 테스트 및 보안 이벤트 관리 등이 포함됩니다.

실제로 이 영역의 많은 제품에는 이러한 기능이 혼재되어 있기 때문에 중복되는 경우가 종종 있습니다.또, 많은 상업용 벤더도 독자적인 [26]용어를 홍보하고 있습니다.상업용 벤더는 SIEM을 전반적으로 개선하는 경향이 있는 이러한 기능의 다양한 조합을 제공하는 경우가 많습니다.로그 관리만으로는 네트워크 보안에 대한 실시간 통찰력을 제공할 수 없습니다. SEM 자체로는 심층 위협 분석을 위한 완전한 데이터를 제공할 수 없습니다.SEM과 로그 관리를 결합하면 SIEM이 모니터링할 수 있는 더 많은 정보를 사용할 수 있습니다.

주요 초점은 사용자 및 서비스 권한, 디렉토리 서비스[clarification needed] 및 기타 시스템 구성 변경을 감시 및 관리하고 로그 감사, 리뷰 및 [24]사고 대응을 제공하는 것입니다.

기능

  • 데이터 집약:로그 관리는 네트워크, 보안, 서버, 데이터베이스, 애플리케이션 등 다양한 소스의 데이터를 집약하여 모니터링 대상 데이터를 통합하여 중요한 이벤트 손실을 방지합니다.
  • 상관 관계:공통 속성을 찾고 이벤트를 의미 있는 번들로 연결합니다.이 기술은 데이터를 유용한 정보로 변환하기 위해 다양한 상관 기술을 수행하여 다양한 소스를 통합할 수 있는 기능을 제공합니다.상관관계는 일반적으로 전체 SIEM[27] 솔루션의 보안 이벤트 관리 부분의 기능입니다.
  • 경고:관련 이벤트 자동 분석
  • 대시보드:도구는 이벤트 데이터를 가져와 패턴을 보거나 표준 패턴을 형성하지 않은 활동을 식별하는 데 도움이 되는 정보 차트로 변환할 수 있습니다.
  • 컴플라이언스:애플리케이션을 사용하여 컴플라이언스 데이터 수집을 자동화하고 기존 보안,[28] 거버넌스 및 감사 프로세스에 적합한 보고서를 작성할 수 있습니다.
  • 보유: 장기간에 걸친 데이터 관련성을 촉진하고 컴플라이언스 요건에 필요한 보유를 제공하기 위해 이력 데이터의 스토리지를 채용합니다.네트워크 [29]위반이 발생한 시점에서 발견될 가능성은 낮기 때문에 법의학 조사에서는 로그 데이터의 장기 보존이 중요합니다.
  • 법의학적 분석:특정 기준에 따라 서로 다른 노드 및 기간의 로그를 검색할 수 있습니다.이렇게 하면 로그 정보를 머릿속에서 수집하거나 수천 개의 [28]로그를 검색해야 하는 번거로움이 줄어듭니다.

구성 요소들

기본적인 SIEM 인프라스트럭처

SIEM 아키텍처는 벤더에 따라 다를 수 있지만 일반적으로 SIEM 엔진을 구성하는 필수 구성 요소가 있습니다.SIEM의 필수 컴포넌트는 다음과 같습니다.[30]

  • 데이터 수집기가 선택한 감사 로그를 호스트에서 전송(에이전트 기반 또는 호스트 기반 로그가 인덱스 및 집약 포인트로 스트리밍됨)
  • 구문 분석, 상관 관계 및 데이터 정규화를 위한 수집 및 인덱싱 지점
  • 시각화, 쿼리, 보고서 및 알림에 사용되는 검색 노드(검색 노드에서 분석이 수행됨)

오른쪽 그림에 기본적인 SIEM 인프라스트럭처가 표시되어 있습니다.

사용 사례

컴퓨터 보안 연구원 Chris Kubecka는 해킹 컨퍼런스 28C3(Chaos Communication Congress)[35]에서 발표한 다음과 같은 SIEM 사용 사례를 확인하였습니다.

  • SIEM 가시성 및 이상 검출을 통해 제로 데이 또는 다형 코드를 검출할 수 있습니다.주로 이러한 유형의 빠르게 변화하는 멀웨어에 대한 안티바이러스 탐지율이 낮기 때문입니다.
  • 해석, 로그 정규화 및 분류는 컴퓨터 또는 네트워크 디바이스의 종류에 관계없이 로그를 전송할 수 있는 한 자동으로 이루어집니다.
  • 보안 이벤트 및 로그 오류를 사용한 SIEM을 통한 시각화는 패턴 탐지에 도움이 될 수 있습니다.
  • 잘못된 구성 또는 보안 문제를 나타낼 수 있는 프로토콜 이상은 패턴 감지, 경고, 기준선 및 대시보드를 사용하여 SIEM을 통해 식별할 수 있습니다.
  • SIEMS는 비밀스럽고 악의적인 통신 및 암호화된 채널을 탐지할 수 있습니다.
  • SIEM은 사이버 전쟁을 정확하게 탐지하여 공격자와 피해자를 모두 탐지할 수 있습니다.

상관 규칙의 예시

SIEM 시스템에는 수백, 수천 개의 상관 규칙이 있을 수 있습니다.이 중 일부는 단순하고 일부는 더 복잡합니다.상관 규칙이 트리거되면 시스템은 사이버 공격을 완화하기 위한 적절한 조치를 취할 수 있습니다.일반적으로 사용자에게 알림을 전송하고 시스템을 제한하거나 종료할 수도 있습니다.UTMStack에 따르면 이들은 가장 중요한 것이다.

브루트 포스 검출

Brute 힘 검색 비교적 간단하다고.Brute 또는 강제적 지속적으로 변수를 추측하는데 관련되어 있다.흔히 누군가 끊임없이 당신의 패스워드를 추측하는데-수동으로 또는 도구로를 말한다.하지만, 그것은 여러분의 시스템에 URL또는 중요한 파일 위치를 추측해 내려는 포함될 수 있습니다.

1분에 60회 패스워드를 입력하는 것은 불가능하기 때문에 자동 무차별 포스는 쉽게 검출할 수 있습니다.

임파서블 트래블

일반적으로 사용자가 시스템에 로그인하면 이벤트의 타임스탬프가 생성됩니다.시간과 함께 시스템은 종종 사용되는 장치, 물리적 위치, IP 주소, 잘못된 로그인 시도 등 기타 유용한 정보를 기록할 수 있습니다.데이터를 더 많이 수집할수록 더 많은 데이터를 사용할 수 있습니다.이동이 불가능한 경우 시스템은 현재 및 마지막 로그인 날짜/시간과 기록된 거리 차이를 확인합니다.예를 들어 1분 이내에 수백 마일을 이동하는 것이 불가능하다고 판단될 경우 경고가 발생합니다.

현재 많은 직원과 사용자가 VPN 서비스를 사용하고 있어 물리적인 위치가 불분명할 수 있습니다.이러한 규칙을 설정할 때는 이 점을 고려해야 합니다.

과도한 파일 복사

일상 업무에 대해 생각해 보면, 시스템상의 많은 파일을 카피하거나 이동하거나 하는 일은 거의 없습니다.따라서 시스템상의 과도한 파일 복사는 회사에 해를 끼치려는 누군가가 원인일 수 있습니다.안타깝게도 누군가가 불법으로 네트워크에 액세스하여 기밀 정보를 훔치려고 한다고 말하는 것만큼 간단하지 않습니다.또한 회사 정보를 판매하려는 직원일 수도 있고 주말에 사용할 파일을 집에 가져가려는 직원일 수도 있습니다.

디도스 공격

분산 서비스 거부(DDoS)공격은 거의 모든 회사에 문제를 일으킬 수 있습니다.DDoS 공격은 웹 속성을 오프라인으로 만들 뿐만 아니라 시스템을 약하게 만들 수 있습니다.적절한 상관 규칙이 있으면 SIEM에서 공격을 시작할 때 경고를 트리거하여 시스템을 보호하는 데 필요한 예방 조치를 취할 수 있도록 해야 합니다.

파일 무결성 변경

FIM(File Integrity and Change Monitoring)은 시스템상의 파일을 감시하는 프로세스입니다.시스템 파일이 예기치 않게 변경되면 사이버 공격의 징후가 될 수 있으므로 경고가 트리거됩니다.

모델

상관 관계 규칙과 함께 SIEM에도 모델이 있을 수 있습니다.모델은 상관 규칙과 다소 다르지만 올바르게 구현되면 마찬가지로 유용할 수 있습니다.모델은 일대일 상관 관계를 사용하는 대신 경고를 트리거하기 위해 여러 단계를 수행해야 합니다.이것은 보통 첫 번째 규칙 뒤에 비정상적인 동작이 이어지는 것을 의미합니다.이것은, 유저가 통상과는 다른 장소에서 로그인하고 나서 대규모 파일 전송을 실시하는 것만으로 간단하게 실시할 수 있습니다.

이는 하나의 이벤트가 조직의 서버나 네트워크의 타협을 의미하는 것이 아니라 단지 카페의 팀원이 풍경 변화를 위해 일하는 것일 수 있기 때문에 매우 유용할 수 있습니다.

폴스 포지티브 처리

안타깝게도 잘못된 긍정은 모든 분야에서 나타나고 SIEM에서도 마찬가지입니다.모든 도구와 시스템은 거짓 양성 결과를 생성할 수 있습니다.예를 들어 로그인 시도가 너무 많이 실패하면 직원이 비밀번호를 잊어버렸을 뿐 시스템에 침입하려고 하는 사람이 아닐 수 있습니다.트리거된 이벤트에 대해 취한 조치가 정당하고 적절한 조치인 것이 중요합니다. 이러한 [36]시나리오에서는 직원이 몇 시간 동안 잠기지 않도록 해야 합니다.

경고 예시

이벤트 상태를 경고하는 커스터마이즈 규칙의 예에는 사용자 인증 규칙, 탐지된 공격 및 [37]탐지된 감염이 있습니다.

규칙. 목표 트리거 이벤트 소스
공격 로그인 소스 반복 브루트 포스 공격, 패스워드 추측 및 잘못 설정된 응용 프로그램에 대한 조기 경고입니다. 단일 호스트에서 1분 내에 3개 이상의 로그인 실패에 대해 경고합니다. Active Directory, Syslog(Unix 호스트, 스위치, 라우터, VPN), RADIUS, TACACS, 감시 대상 애플리케이션.
공격-방화 스캔, 웜 전파 등에 대한 조기 경고 1분 이내에 단일 IP 주소에서 15개 이상의 방화벽 폐기/거부/거부 이벤트에 대해 경고합니다. 방화벽, 라우터 및 스위치
반복 공격 네트워크 침입 방지 시스템 스캔, 웜 전파 등에 대한 조기 경고 단일 IP 주소에서 7개 이상의 IDS 경보를 1분 이내에 경고 네트워크 침입 탐지 및 방지 장치
공격 호스트 침입 방지 시스템 반복 감염되거나 손상된 호스트 검색
(감염행위의 억제)		 단일 IP 주소에서 3개 이상의 이벤트에 대해 10분 이내에 경고 Host Intrusion
바이러스 검출/제거 호스트에서 바이러스, 스파이웨어 또는 기타 악성 프로그램이 탐지되면 경고 단일 호스트에서 식별 가능한 멀웨어 조각이 발견될 때 경고 안티바이러스, HIPS, 네트워크/시스템 동작 이상 검출기
바이러스 또는 스파이웨어는 검출되었지만 치료할 수 없었다. 소스상에서 말웨어가 검출되고 나서1시간 이상 경과했을 때, 대응하는 바이러스가 정상적으로 제거되지 않은 경우에 경고한다. 단일 호스트가 탐지 후 1시간 이내에 악성 프로그램을 자동 치료하지 못할 때 경고 방화벽, NIPS, 안티바이러스, HIPS, 로그인 실패 이벤트

참고 항목

레퍼런스

  1. ^ a b "SIEM: A Market Snapshot". Dr.Dobb's Journal. 5 February 2007.
  2. ^ Williams, Amrit (2005-05-02). "Improve IT Security With Vulnerability Management". Retrieved 2016-04-09. Security information and event management (SIEM)
  3. ^ Ruthberg, Zella; McKenzie, Robert (1977-10-01). "Audit and Evaluation of Computer Security". doi:10.6028/NBS.SP.500-19. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  4. ^ Johnson, Arnold; Dempsey, Kelley; Ross, Ron; Gupta, Sarbari; Bailey, Dennis (October 2019). "Guide for security-focused configuration management of information systems" (PDF). Gaithersburg, MD: NIST SP 800–128. doi:10.6028/nist.sp.800-128. S2CID 63907907. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  5. ^ "Improving the Nation's Cybersecurity". Federal Register. 2021-05-17. Retrieved 2021-07-28.
  6. ^ Kent, Karen; Souppaya, Murugiah (2006-09-13). "Guide to Computer Security Log Management". doi:10.6028/NIST.SP.800-92. S2CID 221183642. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  7. ^ a b c Computer Security Division, Information Technology Laboratory (2016-11-30). "Release Search - NIST Risk Management Framework CSRC CSRC". CSRC NIST. Retrieved 2021-06-13.
  8. ^ Computer Security Division, Information Technology Laboratory (2016-11-30). "NIST Risk Management Framework CSRC CSRC". CSRC NIST. Retrieved 2021-07-23.
  9. ^ "Understanding the NIST cybersecurity framework". Federal Trade Commission. 2018-10-05. Retrieved 2021-07-23.
  10. ^ Rights (OCR), Office for Civil (2009-11-20). "Summary of the HIPAA Security Rule". HHS.gov. Retrieved 2021-07-23.
  11. ^ "The Role of Information Security in Sarbanes-Oxley Compliance". Issues in Information Systems. 2005. doi:10.48009/2_iis_2005_124-130. ISSN 1529-7314.
  12. ^ "Mapping PCI DSS v3_2_1 to the NIST Cybersecurity Framework v1_1" (PDF). July 2019.{{cite web}}: CS1 maint :url-status (링크)
  13. ^ "NIST SP 800-53, Revision 5 Control Mappings to ISO/IEC 27001". 10 December 2020.{{cite web}}: CS1 maint :url-status (링크)
  14. ^ a b Computer Security Division, Information Technology Laboratory (2016-11-30). "Release Search - NIST Risk Management Framework CSRC CSRC". CSRC NIST. Retrieved 2021-07-18.
  15. ^ "Risk management framework for information systems and organizations". Gaithersburg, MD. December 2018. doi:10.6028/nist.sp.800-37r2. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  16. ^ "Guide for conducting risk assessments". Gaithersburg, MD. 2012. doi:10.6028/nist.sp.800-30r1. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  17. ^ "Improving the Nation's Cybersecurity". Federal Register. 2021-05-17. Retrieved 2021-07-18.
  18. ^ a b c Computer Security Division, Information Technology Laboratory (2016-11-30). "Release Search - NIST Risk Management Framework CSRC CSRC". CSRC NIST. Retrieved 2021-07-19.
  19. ^ "Security and Privacy Controls for Information Systems and Organizations". 2020-09-23. doi:10.6028/nist.sp.800-53r5. S2CID 238185691. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  20. ^ Mavroeidis, Vasileios; Jøsang, Audun (2018-03-16). "Data-Driven Threat Hunting Using Sysmon". Proceedings of the 2nd International Conference on Cryptography, Security and Privacy. ICCSP 2018. Guiyang, China: Association for Computing Machinery: 82–88. arXiv:2103.15194. doi:10.1145/3199478.3199490. ISBN 978-1-4503-6361-7. S2CID 49864578.
  21. ^ Force, Joint Task (2020-12-10). "Security and Privacy Controls for Information Systems and Organizations". doi:10.6028/NIST.SP.800-53r5. S2CID 238185691. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  22. ^ Swift, David (26 December 2006). "A Practical Application of SIM/SEM/SIEM, Automating Threat Identification" (PDF). SANS Institute. p. 3. Retrieved 14 May 2014. ...the acronym SIEM will be used generically to refer...
  23. ^ Kent, Karen; Souppaya, Murugiah (September 2006). "Guide to Computer Security Log Management". Computer Security Resource Center, NIST. doi:10.6028/NIST.SP.800-92. S2CID 221183642. SP 800-92. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  24. ^ a b Jamil, Amir (29 March 2010). "The difference between SEM, SIM and SIEM".
  25. ^ SIEM의 미래 - 시장 분화 시작
  26. ^ Bhatt, S.; Manadhata, P.K.; Zomlot, L. (2014). "The Operational Role of Security Information and Event Management Systems". IEEE Security & Privacy. 12 (5): 35–41. doi:10.1109/MSP.2014.103. S2CID 16419710.
  27. ^ Wayback Machine에서 2014-10-19년 상관관계 아카이브
  28. ^ a b "Compliance Management and Compliance Automation – How and How Efficient, Part 1". accelops.net. Archived from the original on 2011-07-23. Retrieved 2018-05-02.
  29. ^ "2018 Data Breach Investigations Report Verizon Enterprise Solutions". Verizon Enterprise Solutions. Retrieved 2018-05-02.
  30. ^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (November 2012). "The Ontological Approach for SIEM Data Repository Implementation". 2012 IEEE International Conference on Green Computing and Communications. Besancon, France: IEEE: 761–766. doi:10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1. S2CID 18920083.
  31. ^ Kotenko, Igor; Chechulin, Andrey (November 2012). "Common Framework for Attack Modeling and Security Evaluation in SIEM Systems". 2012 IEEE International Conference on Green Computing and Communications: 94–101. doi:10.1109/GreenCom.2012.24. ISBN 978-1-4673-5146-1. S2CID 15834187.
  32. ^ Karl-Bridge-Microsoft. "Eventlog Key - Win32 apps". docs.microsoft.com. Retrieved 2021-07-18.
  33. ^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (November 2012). "The Ontological Approach for SIEM Data Repository Implementation". 2012 IEEE International Conference on Green Computing and Communications: 761–766. doi:10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1. S2CID 18920083.
  34. ^ Azodi, Amir; Jaeger, David; Cheng, Feng; Meinel, Christoph (December 2013). "Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems". 2013 International Conference on Advanced Cloud and Big Data: 69–76. doi:10.1109/CBD.2013.27. ISBN 978-1-4799-3261-0. S2CID 1066886.
  35. ^ "28c3: Security Log Visualization with a Correlation Engine". YouTube. December 29, 2011. Archived from the original on 2021-12-15. Retrieved November 4, 2017.
  36. ^ "Essential SIEM Correlation Rules for Compliance". UTMStack. 17 November 2020.
  37. ^ Swift, David (2010). "Successful SIEM and Log Management Strategies for Audit and Compliance". SANS Institute.