SIEM 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류:보안]] | [[분류:보안]][[분류:정보보안기사]] | ||
[[분류:정보보안기사]] | |||
;Security Information & Event Management | ;Security Information & Event Management | ||
;[[ESM]]의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공한다. | ; [[ESM]]의 진화된 형태로 볼 수 있으며 네트워크 하드웨어 및 응용 프로그램에 의해 생성 된 보안 경고의 실시간 분석을 제공한다. | ||
현장에선 일반적으로 '심' 이라고 읽는다. | |||
현장에선 일반적으로 '심'이라고 읽는다. | |||
* | == 주요 기능 == | ||
** | * '''데이터 통합''' : 다양한 장비에서 발생한 데이터를 수집하여 통합 분석 한다. | ||
** | ** 로그 수집 : 관제 대상 시스템에 설치된 에이전트로 SNMP, syslog 서버에 저장하는 과정 | ||
** | ** 로그 변환 : 다양한 로그 표현형식을 표준 포맷으로 변환하는 과정 | ||
** | * '''상관관계''' : 수집한 데이터를 유용한 정보로 만들기 위해 다양한 상관 관계 분석 기능을 제공한다. | ||
** 로그 분류 : 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그룹핑하여 한 개의 정보로 취합하는 과정 | |||
** 로그 분석 : 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성 규칙을 기준으로 여러 개의 로그들의 연관성을 분석하는 과정 | |||
* '''알림''' : 이벤트를 관리자에게 자동으로 알릴 수 있다. | |||
* '''대시보드''' : 이벤트 데이터를 가지고 패턴을 표시하여 정보를 제공하거나 표준 패턴을 형성하지 않는 활동을 파악할 수 있다. | |||
== | == 기타 == | ||
* SIEM과 관련된 기업, 솔루션 | |||
** SPLUNK, QRadar, Arcsight | |||
*[[ESM]] | == 같이 보기 == | ||
*[[보안 관제]] | * [[ESM]] | ||
* [[보안 관제]] |