The convergence of SIEM and Log Management
March 19, 2009 (Network World) by Dominique Levin

보안정보 및 이벤트관리(SIEM)와 로그 관리 툴이 수년간 상호보완적으로 존재해왔지만, 이 기술들이 융합될 것으로 기대되고 있다. 2세대 log management와 SIEM 솔루션에서 기대할 수 있는 것들을 살펴보자.

SIEM은 기업들이 IDS/IPS에 많은 비용을 소요한다고 느낌으로써 나타났다. 이 시스템들은 외부 공격을 탐지하는데 도움이 될 수 있지만, signature기반의 엔진에 대한 의존으로 대량의 오탐지를 생성하였다.

1세대 SIEM기술은 신호 대 잡음비(signal-to-noise ratio)를 줄이고 가장 심각한 외부 위협들의 표면화를 돕도록 고안되었었다. 규칙기반의 상관분석을 사용하여, SIEM은 정책을 위반하는 방화벽과 IDS/IPS 이벤트들에 집중함으로써 IT가 실제 공격을 탐지하도록 도왔다. 전통적으로, SIEM솔루션은 유지보수와 시스템 소수변경 비용이 비싸고 시간이 소요되었지만, 과도한 false alert을 통한 sorting의 큰 골칫거리를 해결하고 효과적으로 외부 위협으로부터 기업들을 보호했다.

그것은 적절한 처치였지만, 세상은 사베인 옥슬레이 법(SOX)과 PCI DSS와 같은 새로운 규정들이 보다 엄격한 내부 IT통제와 평가를 의무시하면서 훨씬 복잡해졌다. 이 규정들을 만족하기 위하여, 조직들은 그들의 IT 인프라내의 활동들을 모니터하기 위해 모든 로그들을 수집,분석, 리포트 및 보존하도록 요구되었다.

의도는 외부 위협을 탐지하는 것 뿐만 아니라 사용자 활동을 정기적으로 리포트하고 사건의 정황에 대한 포렌식 리포트의 생성을 제공하는 것이다. SIEM 기술은 이미 로그를 수집하고 있지만, 보안침해와 관련된 부분들만을 처리한다. 이 기술은 어플리케이션, 스위치, 라우터, 데이터베이스, 방화벽, 운영시스템, IDS/IPS 그리고 웹 프록시와 같은 모든 IT 구성요소들로부터 생성되는 엄청난 양의 로그 데이터를 처리하도록 설계되지는 않았다.

외부 위협보다는 오히려 사용자 활동 모니터링에 중점을 둔, 로그 관리는 훨씬 대량의 데이터를 처리하는 아키텍처와 대형 기업의 요구를 충족하는 스케일의 능력을 갖춘 기술로서 시장에 진입했다.

기업들이 다양한 비즈니스 요건을 만족하기 위해 로그 관리와 SIEM 솔루션을 구현함으로써, 그들은 또한 두가지 기술이 함께 잘 작용할 수 있음을 발견했다. 로그 관리 툴은 엄청난 양과 폭의 로그데이터를 수집, 리포트, 보존하도록 설계된 반면, SIEM 솔루션은 가장 중요한 보안 이벤트들을 표면화하기 위해 일련의 로그데이터를 상관분석하도록 고안되었다.

여러분이 기업의 IT 창고를 살펴본다면, 로그 관리와 SIEM 둘 다를 보게 될 것이다. 로그 관리 툴은 종종 상관분석을 위해 필수적인 로그 데이터를 필터하고 SIEM 솔루션으로 전송하는 로그 데이터 웨어하우스의 역할을 맡는다. 이 조합은 SIEM을 구현하는 비용을 줄이는 것 뿐만 아니라 투자 대비 수익을 최적화하도록 돕는다.

이러한 경제 난국 시대에, 우리는 IT가 훨씬 많은 문제들을 해결하기 위해 로깅 기술을 최대한 활용하도록 노력하는 것을 볼 수 있을 것이다. 로그 관리와 SIEM 기술들이 더욱 긴밀히 같이 작용하고 중복되는 기능들을 줄이는 것을 기대하도록 하였다.

차세대 SIEM 그리고 로그 관리

툴들이 필요한 도움을 제공할 수 있는 영역이 규정에 따르는 것이다.
기업들은 점차 고객들, 고용인들, 그리고 주주들에게 책임을 다할 과제에 직면하고 있는데 이는 IT인프라, 고객과 기업 데이터를 보호하고 정부와 산업에 의해 정의된 규칙과 규정들을 준수하는 것이다.

규제 준수는 널리 보급되어 있다 그리고 오바마 정권 아래, 기업의 책임추적성 요구사항은 증대될 것으로 보인다. 로그 관리와 SIEM 상관분석 기술은 기업들이 그들의 규정 준수 요건사항을 만족하도록 돕고, 그들의 IT와 비즈니스 프로세스를 더욱 효율적으로 만들고, 프로세스상의 관리와 기술 비용을 줄이기 위해 보다 통합적인 관점을 제공하기 위해 같이 작동될 수 있다.

IT 조직들은 또한 로그 관리와 인텔리전스(intelligence) 기술이 비즈니스 활동 모니터링과 비즈니스 인텐리전스에 더 많은 가치를 제공하도록 기대할 것이다. SIEM은 보안 관련 데이터의 캡처를 계속할 것이지만, 상관분석 엔진은 비즈니스 프로세스를 상관분석하고 성능, 가동시간, 능력 활용, 서비스 레벨 관리와 관련된 내부 이벤트들을 모니터하도록 재사용될 수 있다. 우리는 결합된 솔루션이 단지 IT운영 뿐만 아니라 비즈니스 프로세스에 관한 깊은 통찰을 제공하는 것을 볼 것이다. 예를 들어, step A에서 Z까지의 비즈니스 프로세스를 모니터할 수 있고, 만약 한 스텝을 놓쳤다면, 언제 어디에서인지를 알 수 있을 것이다.

간략히 말해, SIEM과 로그 관리를 통합함으로써, 기업들이 어떻게 노력과 기능들을 중복 제거함으로써, 절약할 수 있는지를 쉽게 알 수 있다. 로그데이터를 수집, 아카이빙, 인덱싱, 상관분석하는 기능들은 하나로 정리될 수 있다. 그것은 또한 필요한 자원과 툴들의 유지보수비용을 절약하도록 할 것이다.

여러분이 로그 기반의 활동 데이터와 보안 이벤트 기반의 상관분석을 다른 비즈니스 문제에 적용할 수 있다면 이는 더욱 흥미로워질 것이다. 규정 준수, 비즈니스 활동 모니터링 그리고 비즈니스 인텔리전스는 빙산의 일각일 뿐이다. 뛰어난 고객들은 이미 웹2.0 어플리케이션, 클라우드 기반 서비스, 그리고 모바일 기기의 가시성과 보안을 증대하기 위해 툴들을 사용하고 있다. 해답은 다양한 비즈니스 사용자들이 상이한 비즈니스 문제들을 해결하기 위한 정보에 접근하도록 사용자와 시스템 활동의 중앙화된 기록과 오픈 아키텍처를 만들어서 시작하는 것이다.