보안 이벤트 관리자
Security event managerSEM(Security Event Management, SEM)과 관련 SIM 및 SIEM은 데이터 검사 도구를 사용하여 네트워크에서 실행 중인 다른 소프트웨어에서 생성된 로그나 이벤트의 저장 및 해석을 중앙 집중화하는 컴퓨터 보안 분야다.[1][2][3]
개요
두문자어 SEM, SIM 및 SIEM은 때때로 서로 다른 방식으로 사용되었지만 일반적으로 제품의 다른 주요 초점을 가리킨다.[4][5]
- 로그 관리:로그 메시지 및 감사 추적의[6] 단순 수집 및 저장에 집중
- SIM(Security Information Management): 로그 데이터의 분석 및 보고뿐만 아니라 장기 저장.
- SEM(Security Event Manager): 실시간 모니터링, 이벤트 상관 관계, 알림 및 콘솔 보기
- 보안 정보 및 이벤트 관리(SIEM): SIM과 SEM을 결합하고 네트워크 하드웨어 및 애플리케이션에서 생성되는 보안 경고의 실시간 분석을 제공한다.[7][8]
이벤트 로그
컴퓨터 네트워크에서 실행되는 많은 시스템과 애플리케이션은 이벤트 로그에 보관되는 이벤트를 생성한다.이러한 로그는 기본적으로 발생한 활동의 목록이며, 새로운 이벤트의 기록이 발생하면서 로그의 끝에 추가된다.syslog 및 SNMP와 같은 프로토콜은 이러한 이벤트가 발생할 때 이벤트가 생성되는 동일한 호스트에 있지 않은 소프트웨어를 로깅하는 데 사용할 수 있다.더 나은 SEM은 가장 광범위한 이벤트 수집을 허용하기 위해 지원되는 통신 프로토콜의 유연한 배열을 제공한다.
다음과 같은 이유로 모든 이벤트를 중앙집중식 SEM 시스템에 보내는 것이 이롭다.
- 모든 로그에 대한 액세스는 일관된 중앙 인터페이스를 통해 제공될 수 있다.
- SEM은 안전한 법의학적으로 건전한 저장과 이벤트 로그의 보관(이 또한 고전적인 로그 관리 기능)을 제공할 수 있다.
- 유용한 정보를 얻기 위해 로그를 채굴하기 위한 강력한 보고 도구를 SEM에서 실행할 수 있다.
- 이벤트는 유의성을 위해 SEM에 도달했을 때 구문 분석할 수 있으며, 보증된 대로 즉시 이해관계자에게 경고와 알림을 보낼 수 있다.
- 여러 시스템에서 발생하는 관련 이벤트를 탐지할 수 있으며, 각 시스템마다 별도의 로그가 있을 경우 탐지하기가 매우 어렵다.
- 시스템에서 SEM으로 전송되는 이벤트는 송신 시스템에 장애가 발생하거나 시스템의 로그가 실수로 또는 의도적으로 삭제되더라도 SEM에 남아 있다.
보안분석
중앙집중화된 로깅이 오래전부터 존재해 왔지만, SEM은 E-Security라는 작은 회사에 의해 1999년에 개척된 비교적 새로운 아이디어로,[9] 지금도 빠르게 진화하고 있다.Security Event Management 도구의 주요 기능은 수집된 로그를 분석하여 정상 업무 시간 이외의 시간에 관리자 또는 슈퍼 유저 로그온과 같은 관심 이벤트 또는 동작을 강조 표시하는 기능이다.여기에는 호스트 정보(가치, 소유자, 위치 등), 신원 정보(이름/성, 직원 ID, 관리자 이름 등 이벤트에서 참조되는 계정과 관련된 사용자 정보) 등의 상황별 정보 첨부가 포함될 수 있다.이러한 상황별 정보는 더 나은 상관관계와 보고 기능을 제공하기 위해 활용될 수 있으며 종종 메타 데이터라고 불린다.또한 제품은 사고 해결 프로세스를 지원하기 위해 외부 교정조치, 티켓팅 및 워크플로우 도구와 통합될 수 있다.더 나은 SEM은 SEM이 대부분의 고객 환경에서 작동하도록 보장하기 위해 유연하고 확장 가능한 통합 기능 세트를 제공할 것이다.
규제요건
![[icon]](/wiki/File:Wiki_letter_w_cropped.svg){kind=small} | 이 구간은 확장이 필요하다.더하면 도움이 된다.(2018년 5월) |
SEM은 Sarbanes-Oxley, PCI-DSS, GLBA와 같은 미국의 규제 요건을 충족시키기 위해 종종 판매된다.[citation needed]
표준화
SEM 공간의 주요 문제점 중 하나는 이벤트 데이터를 일관성 있게 분석하기 어렵다는 점이다.모든 벤더, 그리고 실제로 많은 경우에 한 벤더에 의한 서로 다른 제품은 다른 독점적인 이벤트 데이터 형식과 전달 방법을 사용한다.Syslog와 같이 체인의 일부에 대해 "표준"이 사용되는 경우에도, 표준에는 일반적으로 이벤트를 생성하는 방법, 이벤트를 정확하고 안정적으로 수집하는 방법의 관리자, 그리고 소비자들이 효과적으로 분석하는 데 도움이 되는 충분한 지침이 포함되어 있지 않다.
이 문제에 대처하기 위한 시도로, 몇 가지 병행 표준화 작업이 진행 중이다.첫째, The Open Group은 1997년 초안을 통과하지 못한 그들의 XDAS 표준을 갱신하고 있다.XDAS v2로 불리는 이 새로운 노력은 이벤트에 포함되어야 하는 데이터와 그것을 표현하는 방법을 포함하는 이벤트 형식을 공식화하려고 시도할 것이다.[citation needed]XDAS v2 표준은 이벤트 전달 표준을 포함하지 않지만 분산 관리 태스크 포스가 개발 중인 다른 표준은 포장지를 제공할 수 있다.
또한, MITRE는 전달 방법뿐만 아니라 이벤트 구조를 정의하려고 시도하여 범위가 다소 넓었던 공통 이벤트 표현식(CEE)과 이벤트 보고를 통합하기 위한 노력을 전개하였다.그러나 2014년 이 사업은 재원이 바닥났다.
참고 항목
참조
- ^ "Archived copy". Archived from the original on 2014-10-19. Retrieved 2013-07-17.
{{cite web}}: CS1 maint: 제목(링크) SIEM으로 보관된 사본 - ^ 보안 이벤트 관리 준비
- ^ SIM/SEM/SIEM 위협 식별 자동화 실용화
- ^ Swift, David (26 December 2006). "A Practical Application of SIM/SEM/SIEM, Automating Threat Identification" (PDF). SANS Institute. p. 3. Retrieved 14 May 2014.
...the acronym SIEM will be used generically to refer...
- ^ Kelley, Diana (March 2004). "Report: Security Management Convergence via SIM (Security Information Management)—A Requirements Perspective". Journal of Network and Systems Management. 12 (1): 137–144. doi:10.1023/B:JONS.0000015702.05980.d2. ISSN 1064-7570.
- ^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf[bare URL PDF]
- ^ "SIEM: A Market Snapshot". Dr.Dobb's Journal. 5 February 2007.
- ^ SIEM의 미래 - 시장이 분산되기 시작할 것이다.
- ^ "Novell 구매 e-Security", 2006, ZDNet
