회사 전산 시스템을 운용하는데 NAC, 방화벽, DRM, DLP, 망간자료전송시스템, 백신과 PMS, 공용 NAS 등의 장비를 사용하고 있습니다. 그런데 현재 이러한 프로그램들의 로그가 파편화 되어 있어서 관련 로그를 뽑고 정리하는데 매우 긴 시간이 걸립니다.
또한 사용자들이 비밀번호를 주기적으로 변경하게 하고 변경 로그와 비정상 행위자 로그를 확인하고 조치를 하라는 지시가 들어왔는데, 여기서 active directory를 사용하여 추가적으로 공용 정책까지 관리하는 것과
SIEM을 도입하여 사용자 로그를 파악 후, 그룹 정책을 변경하여 비밀번호를 주기적으로 변경하고 있지 않은 사용자를 탐색 후 연락하는 것 중 어느 것이 더 효율적인지 궁금합니다.
SIEM을 구축하는 전제로 찾아본 결과 온프레미스가 강요되어
wazuh이나 ELK를 직접 구축하여 사용하는 것이 제일 저렴하나 구축 과정에 있어서 소요되는 시간이 매우 길고
Logpresso, SPiDER TM은 국산 업체이고
IBM Security QRader, Splunk Enterprise는 외국 회사지만 가격이 매우 비싼 것으로 알고있습니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
10개의 답변이 있습니다.
내용은 정리하면 핵심은...
Active Directory + 그룹 정책(GPO) 활용 이냐?
SIEM 도입하여 로그 통합 및 사용자 행위 모니터링 이 더 효율적이냐?
인듯 보이는데...
Active Directory + 그룹 정책(GPO) 활용한 경우에는 정책 적용엔 GPO가 편하지만, 여러 시스템 로그 통합·분석까지는 불가능합니다.
그리고 SIEM 도입하면 모든 시스템의 로그 통합, 실시간 경보 및 이상 징후 탐지, 사용자별 행위 분석 등의 장점이 있습니다.
효율적으로 운영하기 위해서는 .. 다음과 같이 검토해보세요...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입요구 하시는 사항을 충족 하려면 SIEM 도입을 하시는게 맞을거 같아요.
회사 내부의 모니터링 하고자 하는 시스템을 정리 하시고,
SIEM 업체에 해당 시스템들에 대해서 다 지원을 하고 있는지 여부를 확인하시고 도입을
검토 하시기 바랍니다. 가끔 지원을 하지 않는 장비도 있거든요...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입SIEM이 좋긴한데.. 그것도 잘 다룰줄알아야 하는데.
지금 사용목적이 엔드포인드단 로그같은게 주목적이면 엔드포인트 솔루션을 사용하는게 맞다고 봅니다.
일단 DLP또는 백신으로요. SIEM은 너무 비싸서..
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입Splunk 도입등 다양한 솔루션을 검토하고 사용도 해봤는데요 솔루션의 상당한 잇점은 있지만
그에 따르는 상당한 비용과 인력이 투입되며 안정화까지 많은 시간과 검토가 필요할겁니다
단계적 접근법을 통해 충분히 검토후 국내 솔루션으로 우선 검토해보시는걸 추천드립니다.
1. 현 단계: Active Directory 우선 구축하여 사용자 계정 및 정책 관리 시작
2. 다음 단계: 규모와 예산에 맞는 SIEM 도입 검토
중소규모라면 Logpresso 같은 국내 솔루션이 비용 대비 효율적
오픈소스 솔루션은 전담 인력이 있을 경우 검토 고려 해보세요~
실제 구축 시에는 POC(개념 증명)를 통해 귀사 환경에 적합한지 검증하는 과정을 권장합니다. SIEM 구축 후에는 로그 상관관계 분석 규칙 설정이 매우 중요하니 이 부분에 충분한 시간을 투자하시길 권장합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입질문하신 것처럼 로그관리 및 분석이 힘들다 보니 SIEM보니 도입을 하는게 맞습니다.
외산 솔루션보다는 국산 솔루션이 더 저렴하기는 합니다. 국산 솔루션이 아무래도 커스터마이징 지원이 원활하기도 하고요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입효율성과 운영 편의성을 고려한다면 국내제품과 외산제품에서 중소-중대-대 규모에 따라
선택 폭이 다르겠고 또한 온프레미스라는 선택지도 있을것 같아
Logpresso (온프레미스) 또는 SPiDER TM을 선택해 국내 지원과 설정 편의성을 활용하는 것이 효율적일 수
있을것 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입견적상담실에 문의해보시는것도 좋은듯합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입사용자들이 비밀번호를 주기적으로 변경하게 하고 싶다면 계정의 암호 정책으로 일정 시간 주기로 암호를 강제 변경하도록 설정해서 사용하는 게 간단할 걸로 보이네요.
비정상 행위자 감지를 하려면 UEBA( User and Entity Behavior Analytics ) 솔루션을 고려해 보는게 좋을 것 같고요.
로그 수집, 분석, 실시간 모니터링으로 비정상저인 활동을 탐지하기 위해서 SIEM ( Security Information and Event Management ) 솔루션을 사용한다면 도움이 될 수 있을 거라 생각되고요.
어떤 것이 좋고, 효율적이냐 하는 것은 사용 환경, 구체적인 요구 사항, 비용 등을 고려해서 판단해 보아야 하지 않을까 싶어 보이네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입siem 도입 목적이 로그 통합 관리,보존이랑 보안 가시성 확보 때문입니다.
말씀하신대로 장비별 또는 기능별 분산된 로그들을 한곳에서 보기 편하게 하려는 솔루션이다 보니
보통 SIEM을 도입 검토합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입말씀하신 직원들의 주기적인 패스워드 변경 관리를 위한 목적이시라면
AD가 더 효율적이고 SIEM보다는 비용도 낮은 편이죠.
설명해주신 것처러 로그수집하여 집계 및 통합, 실시간 위협 탐지 및 분석,
보안 가시성 등을 위해 구축하는 것이 SIEM입니다.
말씀하신 것처럼 덩치가 큰 솔루션이고 가격 또한 높은 편입니다.
향후 패스워드 이외 보안 가시성 확보 차원의 SIEM 도입까지 고려하신다고 하더라도
AD 구축 자체만으로 보안 관리의 장점이 많으니
AD 구축과 SIEM 도입을 따로 구분하시지 마시고 같이 구축해서 운영하시는 것으로
계획을 잡으시는게 더 효율적일 듯해요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입