SIEM이란 무엇입니까? 초보자 가이드
SIEM은 현재 20 억 달러 규모의 산업이지만 최근 설문 조사에 따르면 이러한 기업 중 21.9 %만이 SIEM에서 가치를 얻고 있습니다.
SIEM 도구는 중요합니다. 데이터 보안 생태계의 일부 : 여러 시스템의 데이터를 집계하고 해당 데이터를 분석하여 비정상적인 행동이나 잠재적 인 사이버 공격을 포착합니다. SIEM 도구는 이벤트 및 경고를 수집 할 수있는 중앙 위치를 제공하지만 비용이 많이 들고 리소스 집약적 일 수 있으며 고객은 SIEM 데이터의 문제를 해결하는 것이 종종 어렵다고보고합니다.
가이드 : 5 가지 방법 SIEM이 실패하고 있습니다 (및 대처 방법)
SIEM이란 무엇입니까?
SIEM (Security Information and Event Management)은 전체 IT 인프라에 걸쳐 다양한 리소스의 활동을 집계하고 분석하는 소프트웨어 솔루션입니다.
SIEM은 네트워크 장치, 서버, 도메인 컨트롤러 등에서 보안 데이터를 수집합니다. SIEM은 추세를 발견하고 위협을 감지하며 조직이 경보를 조사 할 수 있도록 해당 데이터를 저장, 정규화, 집계 및 적용합니다.
SIEM은 어떻게 작동합니까?
SIEM은 두 가지를 제공합니다. 사고 대응 팀의 주요 기능 :
-
- 보안 사고에 대한보고 및 포렌식 li>
- 특정 규칙 집합과 일치하는 분석을 기반으로하는 경고로 보안 문제를 나타냅니다.
핵심, SIEM은 데이터 수집기, 검색 및보고 시스템입니다. SIEM은 전체 네트워크 환경에서 막대한 양의 데이터를 수집하고 통합하여 해당 데이터를 사람이 액세스 할 수 있도록합니다. 데이터를 분류하고 간편하게 정리하여 필요한만큼 세부적으로 데이터 보안 침해를 조사 할 수 있습니다.
보안 정보 및 이벤트 관리 기능
Gartner는 SIEM에 대한 세 가지 중요한 기능 (위협 감지, 조사 및 대응 시간)을 식별합니다. 다음을 포함하여 SIEM 시장에서 일반적으로 볼 수있는 다른 특징과 기능이 있습니다.
-
- 기본 보안 모니터링
- 고급 위협 탐지
- 포렌식 & 사고 대응
- 로그 수집
- 정규화
- 알림 및 경고
- 보안 사고 감지
- 위협 대응 워크 플로
Top SIEM 도구
다음은 SIEM 분야의 최고 업체입니다.
Splunk
Splunk는 Gartner가 업계의 리더로 평가하는 완전한 온 프레미스 SIEM 솔루션입니다. Splunk는 보안 모니터링을 지원하고 지능형 위협 탐지 기능을 제공 할 수 있습니다.
Varonis는 Splunk 용 Varonis DatAlert 앱을 통해 Splunk와 통합됩니다.
IBM QRadar
QRadar는 하드웨어 어플라이언스로 배포 할 수있는 또 다른 인기있는 SIEM입니다. 조직의 필요와 용량에 따라 가상 어플라이언스 또는 소프트웨어 어플라이언스입니다.
QRadar는 Varonis와 통합하여 Advanced Threat Detection 기능을 추가 할 수 있습니다. QRadar 용 Varonis 앱 검색
LogRhythm
LogRhythm은 소규모 조직에 적합한 SIEM입니다. LogRhythm을 Varonis와 통합하여 위협 감지 및 대응 기능을 얻을 수 있습니다.
기업의 SIEM
일부 고객은 최고의 가치를 얻기 위해 두 개의 개별 SIEM 솔루션을 유지해야한다는 사실을 알게되었습니다. SIEM은 매우 시끄럽고 리소스 집약적 일 수 있으므로 각 목적을 위해 일반적으로 데이터 보안 및 규정 준수를 위해 하나를 선호합니다.
SIEM의 기본 로깅 및 로그 관리 사용 사례 외에도 기업은 SIEM을 다른 용도로 사용합니다. 목적. 한 가지 다른 사용 사례는 HIPAA, PCI, SOX, GDPR과 같은 규정에 대한 규정 준수를 입증하는 것입니다.
SIEM 도구는 용량 관리 프로젝트에 사용할 수있는 데이터를 집계합니다. 시간 경과에 따른 대역폭 및 데이터 증가를 추적하여 성장 및 예산 책정을 계획 할 수 있습니다. 용량 계획 세계에서 데이터는 핵심이며, 시간 경과에 따른 현재 사용량과 추세를 이해하면 성장을 관리하고 예방에 대한 반동적 조치로 대규모 자본 지출을 피할 수 있습니다.
전체 데이터 보안 생태계로서 SIEM 애플리케이션의 한계
SIEM 애플리케이션은 기본 이벤트에 대한 제한된 상황 정보를 제공하며 SIEM은 비정형 데이터 및 이메일에 대한 맹점으로 알려져 있습니다.예를 들어 IP 주소에서 네트워크 활동이 증가하는 것을 볼 수 있지만 해당 트래픽을 생성 한 사용자 나 액세스 한 파일은 볼 수 없습니다.
이 경우 컨텍스트는 모든 것이 될 수 있습니다.
중요한 데이터 전송으로 보이는 것은 완전히 무해하고 정당한 행동 일 수도 있고, 페타 바이트 규모의 민감하고 중요한 데이터를 도난 당했을 수도 있습니다. 보안 경고의 맥락이 부족하면 늑대를 울린 소년패러다임이 발생합니다. 결국 이벤트가 트리거 될 때마다 울리는 알람 벨에 보안이 둔감해질 것입니다.
SIEM 애플리케이션은이를 수행 할 수 없습니다. 데이터를 민감하거나 민감하지 않은 것으로 분류하므로 제재 된 파일 활동과 고객 데이터, 지적 재산 또는 회사 보안을 손상시킬 수있는 의심스러운 활동을 구별 할 수 없습니다.
궁극적으로 SIEM 애플리케이션은 그들이받는 데이터로 가능합니다. 해당 데이터에 대한 추가 컨텍스트가 없으면 IT는 종종 잘못된 경보 또는 기타 사소한 문제를 추적하게됩니다. 컨텍스트는 데이터 보안 세계에서 어떤 전투를 벌여야하는지 알기위한 핵심입니다.
SIEM을 사용할 때 고객으로부터 가장 큰 문제는 보안 이벤트를 진단하고 조사하는 것이 매우 어렵다는 것입니다. 저수준 데이터의 양과 많은 수의 경고는 건초 더미의 바늘효과를 유발합니다. 사용자는 경고를 받지만 해당 경고에 즉시 조치 할 명확성과 컨텍스트가 부족한 경우가 많습니다.
Varonis 방법 SIEM을 보완합니다.
Varonis가 SIEM에 가져 오는 컨텍스트는 저격수 사냥 또는 주요 데이터 보안 침해 방지 간의 차이 일 수 있습니다.
바로 니스가 등장하는 이유입니다. Varonis는 추가 컨텍스트를 제공합니다. SIEM이 수집하는 데이터에 추가 : 심층적 인 컨텍스트, 통찰력을 구축하고 보안 조사 및 방어에 위협 인텔리전스를 추가함으로써 SIEM에서 더 많은 가치를 더 쉽게 얻을 수 있습니다.
Varonis는 온 프레미스 및 클라우드의 다양한 데이터 저장소에서 파일 이벤트 데이터를 캡처하여 네트워크에서 액세스 한 각 파일의 누가, 무엇을, 언제, 어디서 액세스하는지 제공합니다. . Varonis Edge 모니터링을 통해 Varonis는 DNS, VPN 및 웹 프록시 활동도 수집합니다. 네트워크 활동과 데이터 저장소 활동의 상관 관계를 분석하여 침입에서 파일 액세스, 유출에 이르는 공격에 대한 완전한 그림을 그릴 수 있습니다.
Varonis는 수백 가지 가능한 패턴 일치를 기반으로 구조화되지 않은 파일을 분류합니다. PII, 정부 ID 번호, 신용 카드 번호, 주소 등을 포함합니다. 이 분류를 확장하여 회사 고유의 지적 재산을 검색하고 취약하고 민감한 정보를 발견하며 규제 데이터에 대한 규정 준수를 충족 할 수 있습니다. Varonis는 최종 사용자에게 영향을주지 않고 제자리에서 파일을 읽습니다.
Varonis는 또한 사용자 행동 분석 (UBA)을 수행하여 사용자의 학습 된 행동 패턴을 기반으로 의미있는 경고를 제공하고 검사하는 위협 모델에 대한 고급 데이터 분석을 제공합니다. 내부 위협 (예 : 유출, 측면 이동, 계정 상승) 및 외부 위협 (예 : 랜섬웨어)에 대한 패턴입니다.
통합 하이라이트
Varonis는 SIEM 애플리케이션과 통합하여 심층적 인 보안 분석을 제공합니다. 조직이 데이터 보안 전략을 확신 할 수 있도록 데이터 컨텍스트 이점은 다음과 같습니다.
-
- 즉석 분석
- 통합 된 Varonis 대시 보드 및 효율적인 조사를위한 알림
- 알림 특정 조사 페이지
- 실행 가능한 통찰력과 풍부한 컨텍스트를 통해 중요한 정보를 한 눈에 강조 표시
- SIEM 워크 플로에 통합
SIEM 및 Varonis를 사용하여 공격을 조사하는 방법
Varonis가 제공하는이 컨텍스트 데이터는 SIEM에 대한 추가 오버 헤드 또는 신호 잡음없이 인프라에 대한 의미있는 분석 및 경고를 보안 팀에 제공합니다. SOC 팀은 Varonis와 함께 SIEM을 활용하여보다 신속하게 조사하고 보호해야하는 가장 중요한 자산 인 비정형 데이터 및 이메일에 대한 통찰력을 얻을 수 있습니다. Varonis에서 제공하는 추가 가시성을 통해 온 프레미스와 클라우드 모두에서 핵심 데이터 저장소에서 일어나는 일을 한 눈에 파악할 수 있습니다. 사용자, 위협 및 장치를 쉽게 조사하고 응답을 자동화 할 수도 있습니다.
(확대하려면 클릭)
SIEM에서 Varonis 경보 이벤트를 클릭하면 조사중인 경보에 대한 Varonis 경보 대시 보드로 이동합니다. 여기에서이 경고가 4 개의 다른 경고와 관련되어 있음을 알 수 있습니다. 그들 중 하나는 번거롭지 만 모두 연결되어 있기 때문에 사이버 공격에 대한 훨씬 더 명확하고 잘 정리 된 그림입니다.
(확대하려면 클릭)
이 경고는이 BackupService 계정이 데이터를 외부 이메일 웹 사이트입니다.
(확대하려면 클릭)
이 경고는 BackupService 계정이 이전에 인터넷에 액세스 한 적이 없기 때문에 계정이 이메일에 데이터를 업로드했다는 사실이 훨씬 더 의심 스럽습니다.
이것은 Varonis와 SIEM을 통해 사이버 보안 경보를 조사하는 시작일뿐입니다. Varonis는 스크립트를 시작하여 사용자 계정을 비활성화하고 공격이 탐지되는 즉시 공격을 차단할 수 있습니다.이 경우 해커는 급여 파일에 전혀 접근하지 못했을 수 있습니다!
상황에 따라 SIEM에서 수신하는 경고에 신속하게 대응하고 관리 할 수 있습니다.
보안 분석가는 SIEM에서 의미있는 알림을 받기 위해 무수한 시간을 소비합니다. 사용 사례 미세 조정, 규칙 구축 및 데이터 소스 추가 – Varonis는 즉시 사용 가능한 분석 모델로 시작합니다. 직관적 인 대시 보드 및 지능형 경고.
좋습니다. 시작할 준비가되었습니다!
이미 SIEM을 사용하고 있다면 Varonis를 추가하고 더 많은 것을 얻을 수 있습니다. SIEM 투자. 데이터 보안 계획을 시작하려는 경우 Varonis로 시작한 다음 SIEM을 추가합니다.
Varonis가 설치되면 데이터 집계 및 추가 모니터링 및 경고를 위해 SIEM을 추가 할 수 있습니다. . Varonis는 더 많은 초기 데이터 보안 범위를 제공하며, SIEM을 추가하면 Varonis와 SIEM이 분석 및 감사를 위해 데이터를 더 잘 연관시키고 저장할 수 있습니다.
Varonis가 어떻게 컨텍스트를 제공하는지 알아 보려면 라이브 사이버 공격 웨비나를 확인하세요. SIEM 데이터에.