SIEM이란
보안 정보 및 이벤트 관리 (SIEM)는 일련의 도구 및 서비스를 제공합니다. 조직의 정보 보안에 대한 전체적인보기
SIEM 도구는 다음을 제공합니다.
- 조직의 정보 보안 시스템에 대한 실시간 가시성
- 이벤트 로그 다양한 소스의 데이터를 통합하는 관리.
- 원시 데이터에 인텔리전스를 추가하는 if-then 규칙을 사용하여 다양한 로그 또는 보안 소스에서 수집 된 이벤트의 상관 관계
- 자동 보안 이벤트 알림 . 대부분의 SIEM 시스템은 보안 문제 및 기타 직접 알림 방법에 대한 대시 보드를 제공합니다.
SIEM은 다음 두 기술을 결합하여 작동합니다. a) 분석을 위해 로그 파일에서 데이터를 수집하는 SIM (보안 정보 관리) 보안 위협 및 이벤트에 대한보고 및 b) 실시간 시스템 모니터링을 수행하는 보안 이벤트 관리 (SEM)는 네트워크 관리자에게 중요한 문제를 알리고 보안 이벤트 간의 상관 관계를 설정합니다.
보안 정보 및 이벤트 관리 프로세스는 다음과 같이 분류 할 수 있습니다.
- 데이터 수집 – 네트워크 보안 정보의 모든 소스 (예 : 서버, 운영 체제, 방화벽, 바이러스 백신 소프트웨어 및 침입 방지 시스템)는 이벤트를 공급하도록 구성됩니다. 대부분의 최신 SIEM 도구는 에이전트를 사용하여 엔터프라이즈 시스템에서 이벤트 로그를 수집 한 다음 처리, 필터링하여 SIEM으로 보냅니다. 일부 SIEM은 에이전트없는 데이터 수집을 허용합니다. 예를 들어 Splunk는 WMI를 사용하여 Windows에서 에이전트없는 데이터 수집을 제공합니다.
- 정책 – SIEM 관리자가 프로필을 생성하여 정상적인 조건과 사전 정의 된 보안 사고시 엔터프라이즈 시스템의 동작을 정의합니다. . SIEM은 특정 보안 요구 사항에 맞게 조정 및 사용자 지정할 수있는 기본 규칙, 경고, 보고서 및 대시 보드를 제공합니다.
- 데이터 통합 및 상관 관계 – SIEM 솔루션은 로그 파일을 통합, 구문 분석 및 분석합니다. 그런 다음 이벤트는 원시 데이터를 기반으로 분류되고 개별 데이터 이벤트를 의미있는 보안 문제로 결합하는 상관 규칙을 적용합니다.
- 알림 – 이벤트 또는 이벤트 집합이 SIEM 규칙을 트리거하면 시스템이 보안 담당자에게 알립니다.
보안 정보 및 이벤트 관리 도구
시장에는 다양한 보안 정보 및 이벤트 관리 솔루션이 있습니다. Arcsight ESM, IBM QRadar 및 Splunk는 가장 인기있는 제품입니다.
ArcSight
ArcSight는 기업의 보안 기술, 운영 체제 및 애플리케이션에서 로그 데이터를 수집하고 분석합니다. 악의적 인 위협이 감지되면 시스템은 보안 담당자에게 경고합니다.
ArcSight는 악성 활동을 중지하기위한 자동 대응을 시작할 수도 있습니다. 또 다른 기능은보다 정확한 위협 탐지를 위해 타사 위협 인텔리전스 피드를 통합하는 기능입니다.
IBM QRadar
IBM QRadar는 네트워크를 포함한 기업 정보 시스템의 소스에서 로그 데이터를 수집합니다. 장치, 운영 체제, 애플리케이션 및 사용자 활동.
QRAdar SIEM은 로그 데이터를 실시간으로 분석하여 사용자가 공격을 신속하게 식별하고 차단할 수 있도록합니다. QRadar는 클라우드 기반 애플리케이션에서 로그 이벤트 및 네트워크 플로우 데이터를 수집 할 수도 있습니다. 이 SIEM은 위협 인텔리전스 피드도 지원합니다.
Splunk
Splunk Enterprise Security는 실시간 위협 모니터링, 시각적 상관 관계를 사용한 신속한 조사 및 고급 보안과 관련된 동적 활동을 추적하는 조사 분석을 제공합니다. 위협.
Splunk SIEM은 로컬에 설치된 소프트웨어 또는 클라우드 서비스로 사용할 수 있습니다. 타사 앱의 위협 인텔리전스 피드 통합을 지원합니다.
SIEM 및 PCI DSS 규정 준수
SIEM 도구는 조직이 PCI DSS 규정을 준수하도록 도울 수 있습니다. 이 보안 표준은 회사의 고객에게 신용 카드 및 결제 데이터가 도난이나 오용으로부터 안전하게 보호 될 것임을 안심시킵니다.
SIEM은 다음 PCI DSS 요구 사항을 충족 할 수 있습니다.
- 승인되지 않음 네트워크 연결 감지 – PCI DSS를 준수하는 조직은 조직의 IT 자산과의 모든 무단 네트워크 연결을 감지하는 시스템이 필요합니다. SIEM 솔루션을 이러한 시스템으로 사용할 수 있습니다.
- 안전하지 않은 프로토콜 검색 – SIEM은 조직의 허용 된 서비스, 프로토콜 및 포트의 사용과 구현 된 문서 보안 기능을 문서화하고 정당화 할 수 있습니다. 안전하지 않은 프로토콜의 경우
- DMZ에서 트래픽 흐름 검사 – PCI 준수 조직은 신뢰할 수없는 네트워크 (예 : 인터넷)와 웹 서버 간의 연결을 관리하는 DMZ를 구현해야합니다. 또한 DMZ 내 IP 로의 인바운드 인터넷 트래픽을 제한해야하며 카드 소지자 세부 정보를 처리하는 나가는 트래픽을 평가해야합니다.
SIEM 솔루션은 DMZ에서 내부 시스템으로 이동하는 트래픽을 검사하고 보안 문제를보고하여 이러한 요구 사항을 충족 할 수 있습니다.
Imperva 웹 애플리케이션 방화벽이 SIEM 통합에 어떻게 도움이되는지 알아보세요.
SIEM과 Imperva 보안 솔루션 통합
Imperva는 선도적 인 SIEM 솔루션과의 턴키 통합을 제공합니다. , ArcSight 및 Splunk 포함.
이를 통해 고객은 당사 제품에서 제공하는 보안 데이터를 선택한 SIEM 플랫폼에 쉽게 통합 할 수 있으며, 여기에서 더 넓은 맥락에서 쉽게 액세스하고 볼 수 있습니다.
Imperva는 Splunk와 통합되었습니다.
Imperva SIEM 통합은 맞춤형입니다. 애플리케이션의 보안 요구 사항을 충족하도록 만들어져 소음을 줄이고 고위험 위협의 우선 순위를 지정할 수 있습니다. 동시에 실행 가능한 통찰력이 제공됩니다.
통합 패키지의 특정 기능에는 보안 이벤트 상관 관계에 대한 사용자 지정 가능한 규칙, 사이트 별 위협 분석 옵션, 사전 정의 된 최적화 대시 보드 등이 포함됩니다.
Imperva 클라우드 SIEM 통합에 대한 추가 정보는 여기에서 찾을 수 있습니다.
Imperva SIEM 통합 정보는 여기에서 찾을 수 있습니다.