[보안] 보안솔루션의 종류 - 시스템 보안_6 : 보안관제시스템

시스템 보안 - 6. 보안 관제 시스템

 

솔루션 개념

 

보안 관제 시스템의 기본적인 개념은

관제 대상의 기술이나 IT자원을 해킹, 바이러스등과 같은 

여러 사이버공격으로부터 보호하기 위해 모니터링 하고 

각종 보안 이벤트 및 시스템 로그 등을 분석하여

발생되는 문제에 대해 대응하고 대비하는 것이다.

 

최근 보안관제를 위한 솔루션들은 빅데이터 분석 기술과 통합하고,

지능적 상관분석 플랫폼으로 진화하고 있다.

종전 방식인 시그니처 기반 탐지의 한계를 극복하고

기업 전반의 빅데이터를 실시간으로 분석하여

잠재적인 위협까지 식별하는 방향으로 진화하는 것이다.

<보안관제 솔루션 구성>

 

 

기능

 

보안관제 시스템의 메인기능이라고 하면

데이터 수집, 분석 및 탐지, 모니터링 이 3가지이다.

보안 장비들을 통해 로그 파일 등의 데이터를 수집하고

이를 정해진 룰, 규칙 등에 따라 분석하고 탐지한다.

그리고 이러한 결과를 실시간으로 통계 내려 대시보드에 제공,

실시간 보안관제 모니터링이 가능하도록 한다.

 

불과 몇년전까지만 해도 수집되는 데이터에 대해

어떤 데이터를 수집하느냐가 포커스였다.

무작정 데이터들을 긁어 모아서 분석하기 보다는

정해진 규칙에 의해 걸러진 데이터들을 의미 있게 보고

수집된 데이터에 대한 분석을 진행하는 그림이었다.

 

그러나 최근 SIEM 시스템에 대한 동향은

빅데이터를 활용한 데이터 학습활동으로 

머신러닝 모듈을 적용하고 도입하고 있지만,

실질적으로는 오탐인 경우가 빈번하여 

보조의 수단으로 활용되어지고 있는 추세이다.

 

 

벤더사별 특징

벤더사 - 제품명	솔루션 기능
시큐레이어 - eyeCloudSIM	-에이전트 및 다양한 프로토콜 지원, 데이터 정규화 -병렬확장 아케텍처 구조, 성능저하 최소화 -이벤트 상관분석 및 네트워크 가시성 확보 -빅데이터 배치분석, 자산별 위협 분석 지원
LogPresso - LogPresso	-네트워크 프로토콜, 에이전트 방식의 수집, 정확한 증분 데이터 수집 -데이터 정규화 및 필터링 가공, 데이터 수집 이중화 -스트리밍 분석, 배치 분석, 실시간 분석, R 연동 분석 -다양한 원천 데이터 통합 분석, 그루비 및 자바스크립트 확장
Splunk - Splunk	-범용 데이터 수집 Agent, 다양한 프로토콜 지원, 분산배치 수집 및 확장성 -형식이나 위치에 관계없이 모든 머신 데이터를 인덱싱 -시간, 위치 또는 사용자 지정 검색 결과를 기반으로 상관/머신러닝 기능
IBM - Qradar	-로그 수집 위한 다양한 프로토콜 지원 -Auto-Discovery 기능, 정규화 및 인덱싱 기능 -네트워크로부터 Flow 정보를 수집, 분석 -상관관계 분석, Well-known 포트에서 봇넷 탐지, 사용자 의심 행위 탐지 등
MICRO FOCUS - ArcSight	-다양한 프로토콜 지원, 자동 이벤트 파싱 지원 -정형화, 카테고리화, 로그표준화를 통한 관리성 향상 -상관관계 룰 작성, 평판 기반의 인텔리전스 지원 -RepSM 분석을 통한 내부 감염자산 모니터링

 

 

※내용에 대한 지적이나 댓글은 언제나 환영입니다.

 

 

※해당 본문의 내용과 사진은 모두 ADT캡스( 구)SK인포섹 )에서 발행한

    2021 IT정보보호 구축 가이드(무료배포)를 기반으로 정리한 것입니다.