안녕하세요.
최근 SIEM 도입을 검토중입니다.
IDS, WAF, AWS, GCP ...등 로그들은 많은데,, 일일이 건바이건으로 보기엔 인력도 부족하고, 말도안되는거 같고, 클라우드 서비스의 경우 상황상 원격관제를 맞길 수도 없습니다.
그나마 AWS나 GCP의 경우는 인증로그는 확인할 수 있으니 ES에 쌓아서 Alert은 가능하긴 한데.. 문제는 실제 인스턴스랑 IDC와 오피스쪽이 문제입니다.
상당히 많은 로그들이 발생하고, 100%정탐이다고 할수 없기에.. 우선 외부 C&C IP 통신의 경우에 메일이랑 슬랙으로 알림이 오게 만들긴 했는데.. 이것만으론 좀 부족하다 느껴저서요..
하여 SIEM을 검토 중이긴 한데... 예산 문제로 인하여,, SaaS 서비스가 있는지 확인 중입니다.
SaaS로 제공하는 SIEM이 있을까요??
5개의 답변이 있습니다.
저희도 SIEM검토하다가 결국은 실무자의 업무영역이라 일이 많더군요.
Cloud SOC로 전환 구축했습니다.
Cloud SOC도 실무자의 업무영역이긴 한데 SIME보다는 덜 하네요.
개복치 | 약 2년 전
클라우드SOC 관련한 제품이 있을까요??? 일반적으로 SIEM이 SOC도 수행하지 않나요?
사내 도입하는 것도 검토해 보심이 좋을듯 합니다. 이글루, 시큐레이어 제품이 있어요
https://www.seculayer.com/solutions/eyecloudsim/
http://www.tocsg.co.kr/StellarCyberOpenXDR
본문에 언급하신 문제점을 해결하기 위한 목적으로 개발된 솔루션입니다.
추가로 NTA 기능도 포함되어 있구요.
실제 도입 여부와 관계없이 가볍게 쪽지 남겨주시면 방문하여 설명해드릴 수 있을 것 같습니다^^
Siem으로 로그분석과 그에 따른 조치도 하셔야 하는데요
쉽지 않을것 같아요
저희도 분석과 조치 때문에 보안관제 업체에 맡겨서 하고 있습니다
대표적인 보안관제 업체: 안랩, sk인포섹,이글루시큐리티
업체 상담도 한번 받아보세요
Sass기반으로도 가능할겁니다
Splunk, Elastic, datadog 등 대부분이 SaaS 서비스를 제공하지 싶은데요~
개복치 | 3년 이하 전
엘라스틱은.. 기능적으로 좀 너무 빈약합니다.. 데이터독을 좀 고민중인데 원하는 기능들이 제공하는지 궁금하네요.... 스플렁크가 가장 좋긴한데... 원하는 기능들 다 있고.. 이거 하나면 soc까지도 끝나니;;