보안 정보 및 이벤트 관리(SIEM)란 무엇인가요?

SIEM은 환경 전반의 소스에서 보안 데이터를 지속적으로 수집하고, 일관된 형식으로 정규화하고, 분석하여 위협과 보안 사고를 식별하는 방식으로 작동합니다. 이 시스템은 방화벽, 침입 감지 시스템, 엔드포인트, 클라우드 서비스, 애플리케이션의 로그를 수집합니다. 그런 다음 상관관계 규칙을 적용하여 공격을 나타낼 수 있는 관련 이벤트를 연결합니다. SIEM은 의심스러운 패턴을 식별하거나 알려진 위협 지표와 일치하는 항목을 발견하면 보안팀이 조사할 수 있도록 알림을 생성합니다.

SIEM 프로세스는 여러 단계를 거칩니다.

• 데이터 수집: 에이전트와 커넥터가 인프라의 모든 부분에서 로그와 이벤트를 실시간으로 수집합니다.
• 정규화: 원시 데이터를 표준화된 형식으로 변환하여 서로 다른 소스의 정보를 함께 비교하고 분석할 수 있도록 합니다.
• 상관관계 및 분석: 시스템은 규칙과 머신러닝 모델을 적용하여 이벤트 간의 관계를 식별하고 위협을 나타내는 이상치를 감지합니다.
• 알림 생성: 분석을 통해 잠재적인 보안 사고가 식별되면 SIEM은 심각도와 위험에 따라 우선순위가 지정된 알림을 생성합니다.
• 조사 지원: 보안 분석가는 SIEM의 검색 및 시각화 기능을 사용하여 알림을 검사하고, 공격 타임라인을 재구성하고, 적절한 대응을 결정합니다.
• 대응 조정: SIEM은 자동화된 대응을 트리거하거나 사고 대응 워크플로를 통해 분석가를 안내할 수 있습니다.

SIEM 플랫폼은 데이터를 수집하고, 위협을 탐지하고, 대응을 조정하기 위해 함께 작동하는 여러 통합 구성요소로 구성됩니다. 각 구성요소는 전반적인 보안 모니터링 및 사고 대응 프로세스에서 특정 기능을 수행합니다.

로그 관리는 SIEM의 핵심으로, 인프라 전반에서 수집된 대량의 이벤트 데이터를 수집, 저장, 색인화합니다. SIEM은 운영체제, 데이터베이스, 네트워크 기기, 보안 도구, 클라우드 서비스의 로그를 검색 및 분석할 수 있는 중앙 저장소로 집계합니다. 이 통합 로그 저장소는 사고를 조사하고, 공격 패턴을 식별하고, 데이터 보관에 대한 규정 준수 요구사항을 충족하는 데 필요한 과거 컨텍스트를 제공합니다.

위협 탐지 기능은 수신 데이터 스트림을 분석하여 보안 사고가 발생할 때 이를 식별합니다. SIEM 시스템은 알려진 공격 패턴과 일치하는 시그니처 기반 규칙, 정상적인 활동에서 벗어난 편차를 식별하는 행동 분석, 보안 침해의 미묘한 징후를 인식하는 머신러닝 모델 등 여러 탐지 방법을 사용합니다. Google Threat Intelligence 피드는 공격자 전략, 멀웨어 패밀리, 새로운 위협에 대한 컨텍스트를 제공하여 이 분석을 보강합니다.

알림은 탐지된 위협을 보안팀이 조치를 취할 수 있는 알림으로 전환합니다. SIEM은 식별된 각 문제를 위험 점수 기준과 조직 우선순위에 따라 평가하여 알림 심각도와 라우팅을 결정합니다. Mandiant Digital Threat Monitoring은 조직을 표적으로 삼는 위협에 대해 외부 소스를 모니터링하여 알림 기능을 확장할 수 있습니다.

대응 기능은 보안팀이 식별된 위협을 격리하고 해결하는 데 도움이 됩니다. SIEM 플랫폼은 분석가가 조사 및 대응 워크플로를 진행하고, 취해진 조치를 추적하며, 각 사고에 대한 감사 추적을 유지하도록 안내하는 케이스 관리 기능을 제공합니다. Mandiant 컨설팅 서비스는 사이버 사고를 신속하게 조사, 격리, 해결하기 위한 효과적인 대응 플레이북을 개발하는 데 도움이 됩니다.

자동화 및 조정은 알림을 처리하고 일반적인 위협에 대응하는 데 필요한 수동 작업을 줄여줍니다. 보안 조정, 자동화, 대응(SOAR) 기능을 사용하면 특정 조건이 충족될 때 다단계 대응 절차를 자동으로 실행하는 워크플로를 정의할 수 있습니다. 예를 들어 SIEM이 엔드포인트에서 멀웨어를 탐지하면 자동화된 플레이북이 기기를 격리하고, 포렌식 증거를 수집하고, 유사한 지표가 있는지 다른 시스템을 스캔하고, 분석가 검토를 위한 티켓을 생성할 수 있습니다.

위협 헌팅 기능을 사용하면 보안 분석가가 자동화된 탐지를 회피한 위협을 선제적으로 검색할 수 있습니다. SIEM은 헌팅 담당자가 환경을 탐색하고, 공격자 행동에 대한 가설을 테스트하고, 숨겨진 보안 침해를 발견할 수 있는 쿼리 인터페이스와 시각화 도구를 제공합니다. Mandiant Threat Detection and Hunting 서비스는 SIEM 플랫폼을 활용하여 지능형 위협을 체계적으로 검색합니다.

규정 준수 기능은 규제 요구사항과 업계 보안 표준을 충족하는 데 도움이 됩니다. SIEM은 HIPAA, PCI DSS, GDPR, SOX와 같은 규정 준수 의무에 따라 로그를 자동으로 수집하고 보관하여 감사자가 보안 제어를 검증하는 데 필요한 증거를 제공합니다. 사전 빌드된 규정 준수 보고서는 로그 데이터를 특정 규제 요구사항에 매핑하여 어떤 시스템이 규정을 준수하는지 보여주고 주의가 필요한 격차를 표시합니다.

성공적인 SIEM 구현을 위해서는 신중한 계획과 단계별 접근 방식이 필요합니다.

1. 명확한 목표 정의: 랜섬웨어 공격 탐지, 권한 있는 액세스 모니터링, PCI DSS 요구사항 충족 등 SIEM으로 달성하고자 하는 구체적인 보안 및 규정 준수 목표를 파악합니다.
2. 환경 평가: SIEM에 공급해야 하는 모든 시스템, 애플리케이션, 데이터 소스를 문서화하고 중요한 애셋과 가치가 높은 대상의 우선순위를 정합니다.
3. 적절한 데이터 소스 선택: 덜 중요한 시스템으로 확장하기 전에 도메인 컨트롤러, 방화벽, 엔드포인트 보안 도구와 같은 가장 중요한 로그 소스를 통합하는 것부터 시작합니다.
4. 데이터 수집 구성: 에이전트, 커넥터, API를 설정하여 시스템 성능에 영향을 미치지 않으면서 식별된 소스에서 안정적으로 로그를 수집합니다.
5. 데이터 정규화 및 보강: 파싱 규칙을 구성하여 원시 로그에서 관련 필드를 추출하고 애셋, 사용자, 위협 인텔리전스에 대한 컨텍스트 정보로 이벤트를 보강합니다.
6. 사용 사례 개발: 우선순위가 높은 시나리오부터 시작하여 조직이 직면한 위협에 맞게 조정된 탐지 규칙과 상관관계 논리를 만듭니다.
7. 탐지 규칙 조정: 규칙을 테스트하고 미세 조정하여 오탐을 줄이면서도 실제 위협에 대한 민감도를 유지합니다.
8. 워크플로 설정: 다양한 사고 유형에 대한 조사 및 대응 절차를 정의하고 역할, 책임, 에스컬레이션 기준을 문서화합니다.
9. 팀 교육: SIEM 플랫폼, 조사 기법, 대응 절차에 대한 종합적인 교육을 제공합니다.
10. 모니터링 및 최적화: SIEM 성능, 알림 품질, 대응 측정항목을 지속적으로 검토하고 필요에 따라 조정하여 효과를 개선합니다.

SIEM은 위협 탐지부터 규정 준수 관리에 이르기까지 조직 전반의 다양한 보안 시나리오를 지원합니다. 보안팀은 SIEM 기능을 활용하여 즉각적인 보안 요구사항과 장기적인 운영 과제를 모두 해결합니다.

SIEM의 일반적인 사용 사례는 다음과 같습니다.

1. 방대한 데이터 소스 분석: 클라우드와 IoT의 빠른 도입으로 인해 더 많은 보안 원격 분석이 필요하며 DNS 및 DHCP와 같은 침해를 나타내는 서버 로그를 수집해야 합니다. SIEM은 페타바이트 규모의 데이터에서 1초 미만의 검색으로 방대한 양의 까다로운 데이터 소스를 분석하여 최신 인프라 전반에서 모든 기반을 포괄하는 데 필요한 규모를 제공할 수 있습니다.
2. 확장된 엔드포인트 원격 분석 보관: EDR 도구의 데이터를 네트워크 전반의 모든 기기에 대한 단일 정보 소스로 간주할 수 있습니다. 그러나 비용이 많이 들기 때문에 EDR 데이터를 장기간 보관하지 못하는 경우가 있을 수 있습니다. SIEM을 사용하면 엔드포인트 원격 분석을 최소 10배 더 오래 수집하고 저장할 수 있으며, 이를 더 광범위한 엔터프라이즈 신호와 상호 연결하여 가시성을 높이고 더 심층적인 분석을 수행할 수 있습니다.
3. 자동화된 대응 및 조정: 대응 시간은 보안 사고가 전개되는 과정에서 차이를 만들어내는 요소입니다. 하지만 많은 조직이 자동화 및 조정 기능이 부족하여 위협에 대응하는 데 수동으로 많은 노력을 기울여야 하고 대응이 지연됩니다. 통합 SecOps 플랫폼은 자동화된 플레이북, 케이스 관리, 협업 기능을 팀에 제공하여 더 빠르고 효과적인 대응을 가능하게 합니다.

적절한 SIEM을 선택하려면 다양한 솔루션이 조직의 구체적인 보안 요구사항, 인프라, 리소스에 어떻게 부합하는지 신중하게 평가해야 합니다. 기술적 기능과 함께 배포 복잡성, 지속적인 유지보수 요구사항, 총소유비용과 같은 운영 요소를 모두 고려해야 합니다. 조직에 가장 적합한 SIEM은 탐지 효과, 확장성, 사용 편의성의 균형을 맞추면서 기존 도구와 원활하게 통합됩니다.

다음 기준을 사용하여 SIEM 솔루션을 평가하세요.

• 확장성: 플랫폼이 현재 로그 볼륨을 처리할 수 있는지 확인하고 성능 저하 없이 조직과 함께 성장할 수 있는지 확인합니다.
• 통합 기능: 기존 보안 도구, 클라우드 플랫폼, 엔터프라이즈 애플리케이션에 대한 사전 빌드된 커넥터를 찾습니다.
• 탐지 효과: 상관관계 규칙, 머신러닝 모델, 위협 인텔리전스 통합의 정교함을 평가합니다.
• 자동화 지원: 자동화된 대응 워크플로를 얼마나 쉽게 빌드하고 조정 플랫폼과 통합할 수 있는지 확인합니다.
• 규정 준수 지원: 솔루션에 규제 요구사항에 부합하는 보고서와 기능이 포함되어 있는지 확인합니다.
• 총소유비용: 구현 및 지속적인 운영을 위한 라이선스 비용, 인프라 요구사항, 인력 요구사항을 계산합니다.

SIEM의 미래는 자동화 증가, 보안 도구 전반의 심층적인 통합, 인공지능 기반의 더욱 정교한 분석에 의해 형성될 것입니다. SIEM은 독립형 플랫폼에서 확장 탐지 및 대응(XDR)과 보안 조정으로 위협 탐지, 조사, 대응을 원활하게 결합하는 통합 보안 운영으로 진화하고 있습니다. 머신러닝은 단순한 이상 감지를 넘어 공격을 초기 단계에서 식별하는 예측 기능을 제공하기 위해 계속 발전할 것입니다. 따라서 심각한 피해가 발생하기 훨씬 전에 공격을 탐지할 수 있게 됩니다. 조직에서 더 많은 클라우드 서비스와 분산 아키텍처를 채택함에 따라 클라우드 네이티브 SIEM 솔루션이 표준이 되어 더 높은 확장성과 클라우드 보안 제어와의 기본 제공 통합을 제공할 것입니다.

완전 관리형 SIEM 서비스가 필요하든 특정 기능을 활용하고 싶든 Google Security Operations는 보안 운영 요구사항을 충족하는 유연한 옵션을 제공합니다. Google Cloud는 클라우드 네이티브 확장성으로 대규모 로그 볼륨을 처리할 수 있는 포괄적인 SIEM 기능, 오탐을 줄이는 고급 분석, 더 광범위한 Google Cloud 보안 생태계와의 긴밀한 통합을 제공합니다. Google Security Operations에는 기존 보안 도구 및 서비스와 원활하게 통합되는 기본 제공 데이터 커넥터가 포함되어 있어 커스텀 통합의 복잡성을 없애줍니다.