SIEM | 제품 | S5DATA
스크롤

SIEM

SIEM 솔루션 도입 필요성

  • SIEM (Security Information & Event Management)

    다양한 엔드포인트, 어플리케이션, 서버, 네트워크, 보안 장비로부터 대량의 로그를 수집하여 분석하고, 이벤트 연관 분석을 통해 위협 상황을 인지하여 침해 사고에 신속하게 대응하는 통합보안관제 솔루션 siem 도입 필요성
  • SIEM 시스템

    기업 자산에 대한 외부 침해와 내부 유출 관제를 수행할 수 있는 시스템으로 Post-Corona 시대에 폭발적으로 증가되는 원격 및 재택 근무 운영으로 인해 중요성이 강조되고 있으며, 기업의 자산과 핵심 정보를 지키는 기반 시스템으로 평가 받고 있습니다. siem 도입 필요성
  • SIEM 시스템은

    조직의 엔드포인트, 어플리케이션 그리고 네트워크 컴퓨팅 리소스에서 수집된 데이터를 집계하고 분석하여 보안사고에 대한 보고를 수행합니다. 특정 규칙 세트와 일치하는 이벤트를 탐지하여 보안 경고를 생성하고, 비정상적인 동작과 의심스러운 활동이나 알려지지 않은 위협을 탐지할 수 있습니다. siem 도입 필요성
  • → 보안 모니터링 및 지능형 위협 탐지
    → 수집된 데이터의 로그 수집 및 정규화
    → 보안 알림 및 경고
    → 보안 사고 감지
    → 위협 대응 워크플로우
    → 규정 준수 보고
    siem 도입 필요성

Logpresso SIEM 제품 개요

siem_제품개요

주요기능

siem_주요기능2
  • 1) 내부유출, 외부 침해 등 보안관제 프로세스 및 기능 제공
  • 2) 시나리오 구성 및 시나리오 기반 탐지 구성
  • 3) 머신러닝 기반 이상징후 탐지 기법 및 기능 제공
  • 4) 자동/수동 소명 요청 프로세스 탑재 (내부 조직도 적용)
  • 5) 계정별 접속 IP 제한 및 OTP 인증 지원
  • 6) 이벤트 및 티켓 처리 이력 관리
  • 7) 이벤트 시계열 분석 및 이벤트 통계 기능 제공
  • 8) 위협 인텔리전스 연계 및 평판조회 탐지 기능 제공

통합 관제를 위한 다양한 수집 데이터 시각화 및 관제 화면 구성 제공

siem_주요기능2

정보보호통합플랫폼의 운영 환경의 프로세스 구성 및 대응

siem_주요기능2

특장점

  • 앱 스토어 지원

    • 로그프레소는 스토어를 통해 새로운 앱을 배포하고, 고객사에서 앱을 다운로드 받아 설치하고 사용할 수 있도록 지원합니다. 도입 이후에도 지속적으로 앱 설치 및 업데이트를 통해 플랫폼 기능을 지속적으로 확장할 수 있습니다.
  • REST API 지원

    • 로그프레소는 타사 SOAR 및 정보보안포탈과 호환성을 극대화할 수 있도록 100종 이상의 REST API를 제공하고 모든 명세를 온라인에 공개합니다.
  • 고속 풀텍스트 인덱싱 및 검색

    • TTA의 공인성능 시험결과 로그 아카이빙은 초당 400만 건, 인덱싱을 포함한 데이터 수집은 초당 270만 건을 실시간으로 처리하며 1건의 로그도 유실 하지 않는 우수한 성적을 보유하고 있습니다.
    • TTA의 공인성능 시험결과 1TB 이상의 로그에서 단일 IP 정보 검색 시 0.009초 이내에 검색하는 우수한 성능을 보였습니다.
  • 수집

    • Syslog, SNMP, NetFlow, HTTP, RSS, FTP, SFTP, JDBC, HDFS 등 다양한 수집지원
    • 약 60종의 보안 솔루션에 대한 수집 모델 및 정규화 템플릿을 내장하고 있으며, 사용자 정의 모델을 간단히 정의하여 등록할 수 있습니다.
      정규표현식, 쿼리, 그루비 및 자바스크립트 정의를 통해 별도의 개발 없이 향후 도입되는 보안시스템의 연동을 지원합니다.
    • 원격 로그 수집 설정을 비롯하여 흐름 제어, 시스템 성능 정보 전송, 원격 업그레이드, OS 실시간 상태 조회 등 다양한 기능을 제공합니다.
    • 에이전트를 통한 안정적 로그 수집을 위하여 중앙 집중적 에이전트 관리 기능을 제공합니다.
  • 저장

    • 테이블 암호화 프로파일을 지정하면 데이터 블록별로 HMAC을 생성하여 보관합니다. 디스크 데이터에 대한 HMAC 재계산과 블록 생성 시 기록된 HMAC와 대조하여 원본 로그의 위/변조 여부를 점검할 수 있도록 웹 관리콘솔에서 조회 기능을 제공합니다.
    • 전용 WORM 파일시스템 드라이버를 제공하여 시스템 관리자 권한으로도 파일 삭제나 위변조가 불가능하도록 지원합니다.
    • 컴플라이언스 기준에 따라 로그의 종류별로 보관주기를 설정할 수 있습니다.
      보관주기가 경과된 로그는 자동으로 삭제 처리되며, 별도의 점검 예약 쿼리 설정으로 보관주기 알림 기능을 설정할 수 있습니다.
  • 분석 검색

    • 파서 지원
      방화벽, IPS, 웹방화벽, DDoS 등 국내외 60여종 이상의 다양한 이기종 장비의 로그 파서를 내장하여 분석이 용이하도록 제품군 별 표준 정규화를 수행합니다. 기존 내장 파서 목록에 없는 경우는 내장 파서로 개발 적용하거나 사용자 정의 파서로 구성하여 적용합니다.
    • 연관 분석
      연관 필터 기능과 연관 분석 기능을 이용하면 다른 탭에서 분석한 결과를 이용하여 현재 탭의 데이터를 필터링하거나 조인할 수 있습니다. 복수의 이기종 이벤트 연관 분석을 세부적인 쿼리를 구사할 필요 없이 직관적으로 분석 작업을 할 수 있습니다.
    • 상관 분석
      외부 시스템에서 지원하는 연동 프로토콜을 쿼리 명령어로 내재화하여 즉각적인 외부 데이터 조회를 수행하고, 이 결과를 로그프레소 소나 내부 데이터와 상관분석을 할 수 있도록 지원합니다.
    • 시계열 분석 및 이벤트 통계
      로그프레소 소나는 탐지된 로그 및 이벤트에 대하여 발생시각 기준으로 종류, 현재 대응 진행 상황을 실시간 현황 그래프 및 그리드로 제공하여 탐지 및 대응 현황을 파악 할 수 있는 기능을 제공합니다.
  • 탐지

    • 시나리오 도출 및 적용
      정보보안 통합플랫폼의 한 전문 영역으로 자사 및 협력사의 전문인력을 투입하여 시나리오를 도출/적용하고 후속적으로 발생되는 추가 시나리오에 대해 점진적으로 고도화 할 수 있습니다.
    • 유형별 시나리오 생성
      다양한 유형별 탐지 시나리오 구현을 위한 시나리오 빌더 기능을 제공합니다. 탐지 유형 (조건)은 수집 로그의 정규화 필드를 정의하여 관리할 수 있고 내부 업무 요건에 따른 다양한 시나리오를 적용할 수 있으므로 기술 내재화를 확보할 수 있습니다.
    • AI/ML 기반의 모델링 및 학습 (알고리즘)
      알려지지 않은 위협과 이상징후를 탐지하기 위한 무감독 학습 기반 이상탐지 모델을 지원합니다.
    • 실시간 탐지 지원
      외부 기관에서 위협 인텔리전스 정보를 수집하여, 실시간 수집되는 IP주소, URL, 파일해시 값에 대한 평판 조회 기반의 탐지 기능을 제공합니다.
  • SOC 대응

    • 통합관제프로세스 대응
      보안 장비 및 업무 시스템에서 발생하는 모든 로그를 실시간 빅데이터 플랫폼으로 수집하여 외부침해와 내부유출을 통합적으로 모니터링하고, 자동화된 소명 절차를 통해 효율적으로 대규모 IT 환경을 관리할 수 있는 정보보호 통합관리 체계를 구축합니다.
    • 자동 소명 워크플로우 적용
      로그프레소 소나는 인사DB 및 자산DB를 동기화 합니다. 내부 정보유출 모니터링에 의한 이상행위 탐지 시 소명대상자를 파악하여 해당 직원에게 소명 요청 메일을 보내고, 사유 제출 및 결재를 진행할 수 있는 웹 기반 소명 워크플로우를 제공합니다.
    • 보안 티켓 관리
      등록된 티켓은 로그프레소 소나의 UI를 통하여 관리됩니다. 대응->티켓 메뉴에서 이러한 기능을 제공하는데 기간 범위, 티켓 분류기준, 중요도, 처리 상태, 처리 담당자(할당자), 결재자 및 키워드에 의한 다양한 티켓 조건 검색을 지원합니다.
    • 상황 전파 지원
      침해 공격 탐지 시 알람 그룹을 지정하여 자동으로 이메일, SMS, 메신저 발송하도록 구성할 수 있습니다. 각 매체별로 부수적인 정보를 추가하거나, SMS DB 입력 혹은 REST API 호출 등 사이트에 특화된 설정이 가능하도록 쿼리 기반의 처리를 지원합니다.
    • 예/경보, 보안뉴스 지원
      KRCERT 예/경보와 보안뉴스, 익스플로잇, 보안권고문, CVE 데이터베이스 등 보안 동향에 대한 최신 정보를 제공합니다.
    • 사용자 정의 보고서 지원
      수동생성 보고서는 단락, 표, 메모의 구성요소를 조합하여 보고서 포맷과 데이터 생성을 지정하여 생성된 보고서는 사용자가 필요 시 원하는 날짜 범위 등을 입력하고 수동으로 생성할 수 있습니다.
    • 시각화 - 임의 분석 대시보드 지원
      위협 대응 현황 및 기관/그룹별 위험도 구성을 통해 보안관제 종합분석에 대한 모니터링 기능을 제공합니다. 로그프레소 소나는 위젯 관리 기능을 제공하여 생성된 위젯을 타 대시보드에 활용할 수 있습니다.
    • 다양한 시각화 제공 / 실시간 수집 현황 모니터링
      차트, 그리드에 대해 클릭 & 드래그 시 필터가 추가되면서 다른 위젯들도 해당 조건을 반영하여 실시간으로 드릴다운된 결과를 표시합니다.

기대 효과

빅데이터 기반 정보보호통합플랫폼 도입을 통해 컴플라이언스 준수 및 리스크 대응 향상

siem_기대효과

도입 고객

이미 200개 이상의 고객사에서 로그프레소를 보안운영 (SecOps) 플랫폼으로 선택하셨습니다.

siem_레퍼런스