회사에서 내년 보안 투자 항목으로 통합로그 - SIEM 도입을 진행하고자 합니다.
솔루션 또는 오픈소스 SIEM 추천 부탁 드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
SIEM 추천 부탁 드립니다.
회사에서 내년 보안 투자 항목으로 통합로그 - SIEM 도입을 진행하고자 합니다.
솔루션 또는 오픈소스 SIEM 추천 부탁 드립니다.
10개의 답변이 있습니다.
유료로 구매해야 하는 솔루션 같은 경우는
솔루션상담실에 문의하시면 되고요.
오픈 소스로 사용할 만한 것 중에 Wazuh 라고 있습니다.
https://wazuh.com/
해당 솔루션은 SC Award 수상 했다고 하니 살펴보시기 바랍니다.
해당 솔루션으로 유명한 여러회사가 있고. 내부적인 환경과 요구사항에 맞게 받으시려면
솔루션 상담실을 통하시면 좀 더 정확한 제안이 가능할 것 같습니다.
보안적인 면에서 보았을때 SIEM은 분명한 한계가 있습니다.
SIEM은 기존 보안 장비의 이벤트나 시스템 로그 등을 주로 임계치 기반으로 연관 분석하여 위협을 탐지하기 때문에 보안 장비에서 관련 이벤트를 발생하지 않으면 SIEM에서도 위협을 탐지하지 못합니다.
애초에 성공한 공격은 보안 장비가 탐지하지 못한 이벤트라는 점에서 보면 SIEM의 역할에 의문이 생길 수 밖에 없습니다. 실제로 SIEM을 도입했다가 라이선스 및 유지관리(SIEM 쿼리를 짜고 결과를 분석할 수 있는 전문가가 필요함) 비용 대비 보안적인 측면에서의 효용성이 높지 않아 걷어내는 사례가 적지 않습니다.
이러한 한계점을 극복하기 위해 보안 이벤트나 로그 뿐만 아니라 네트워크 트래픽과 사용자 행위 등을 직접 들여다보고, Threat Intelligence와 연관 분석을 수행하는 솔루션이 최근 국내에도 많이 도입되고 있어 함께 검토해보시면 좋을 것 같습니다.
StellarCyber Open XDR (tocsg.co.kr)
Stellar Cyber Open XDR Platform Reviews, Ratings & Features 2023 | Gartner Peer Insights
SIEM 업체는 다양합니다
특정 3개 회사를 선정하여 poc를
진행해 보세요 . 보안 사항과 구성 그리고
본인의 스킬도 쌓일겁니다
보안에서 오픈소스는 어울리지 않으니
참고하시구요
다양한 SIEM 솔루션이 있으며 SIEM 솔루션마다 운영형태, 활동방법들이 좀 다릅니다.
회사의 사용목적에 따라 다를 수 있으니 사용하시려는 정확한 목적을 가지고
접근하시는게 좋습니다.
솔루션 상담실이 좀더 자세한 상담을 받을 수 있을 것 같은데.
많은 분들이 추천하는 스플렁크를 추천드립니다. 좀 비싸긴 한데 확실한 SIEM 제품이라 추천드립니다.
내부적으로 도입 검토했던 솔루션 3개 추천하니 참고해서 검토해 보세요.
1.SIEM 글로벌 No. 1 Splunk
- 글로벌 머신데이터 플랫폼인 스플렁크의 SIEM 솔루션은 보안 모니터링 부터 고급 위협 탐지, 사고 조사와 대응, SOC 자동화까지 다양한 보안 분석 및 운영 사용사례를 지원합니다.
보안 모니터링과 위협 분석을 개별로 해주는 솔루션은 많아도 사고 대응과 SOC자동화까지 Suite 형태로 한 플랫폼 내에서 해결해주는 보안 솔루션은 드뭅니다.
2.Elastic Stack (엘라스틱 스택)
- 2019년 미국 Endpoint Security 분석 전문업체인 Endgame을 인수함으로써, 글로벌 시장에서 SIEM 과 ENDPOINT를 하나의 플랫폼 안에서 제공할 수 있는 유일한 보안 솔루션으로,
(1) 내부자 보안 위협 분석(내부자 정보유출, 이상행위 탐지/모니터링)
(2) SOC의 핵심 솔루션인 SIEM
(3) 원격 오피스 환경에서 가장 중요한 EDR
(4) 수집 후 분석이 아닌, 실시간 보안 데이터 탐지 및 분석과 대응 지원
3. IBM QRadar SIEM
- 보안 분석을 위한 기능에 집중되어 있고 운영에 있어 난이도가 낮다는 장
점이 있습니다.
추가로, IBM에서 비교 분석한 내용이니 참고하세요. (꿀 정보입니다. ^^)
■엘라스틱의 경우, 무료로 SIEM 또는 로그 분석 시스템을 구현하고자 할 때 많이 이용한다. 특히 게임업계의 경우 이를 통한 분석을 활발히 하고 있으나, 전문적인 지식이 필요한 부분과 무료 사용은 좋지만, 커뮤니티를 이용한 기술을 스스로 습득해야하는 불편사항이 있다.
■스플렁크의 경우, 빅데이터 플랫폼이라는 이미지가 강하고 여러가지 확장 대시보드, APP을 통해서 기능을 확장시키는 구조로 되어 있다. 이 제품 또한 좋은 제품이지만 사용법을 익히기 위해 특정 쿼리문을 익혀야 하는 부분들도 있다.
SIEM 으로업체 검색하셔서 제안을 요청해 보시거나,
아니면 솔루션 상담실에 요청해 보시는게 빠를거 같아요 ^^
SIEM ( Security Information and Event Management ) 솔루션 업체로 스플렁크, 데이터독이 유명하지 않을까 싶고요.
그외에도 다양한 업체에서 SIEM 솔루션을 개발하고 있겠고...
어떤 솔루션이건...
유명하다거나, 남이 좋다해서 나에게도 딱 맞는건 아니다 보니...
직접 제안을 받아 보고 결정하는 것이 좋지 않을까 싶어보이네요.
솔루션 상담실에도 제안 요청해 보면 도움이 되지 않을까 싶어 보이고요.
솔루션 상담실 -->견적게시판에 문의 해보시면 빠른 답변 받으실수 있습니다.