ESM과 SIEM 에 대한 이야기

ESM(Enterprise Security Management) , SIEM(Security Information & Event Management)

두가지 로그 관리 솔루션에 대해 알아보자.

 

1. ESM (Enterprise Security Management)

Firewall, IPS(IDS), UTM 등의 보안 솔루션들의 로그, 이벤트를 하나로 모으는 통합 보안관리 시스템이다.

우리말로 풀면 '전사적 통합보안관리'

통합된 솔루션들의 보안로그를 통합관리, 솔루션간의 상호연동 등의 기능을 한다. 하나로 통합이 되니까 전체 시스템의 보안정책을 수립하는데도 용이하다.

쉽게 "여러가지 장비의 로그/이벤트를 한방에 관리하는 시스템"

​

여러가지 제품들이 있는데, 모니터링 / 경보 / 분석 / 정책관리 등등 어떠한 기능에 중점을 두는지에 따라서 약간씩 특성이 다르다.

기능은 크게 두가지로 볼 수 있다.

1. 서로 다른 기종의 보안장비들을 통합 관리하는 기능

2. 네트워크 자원현황을 모니터링하는 보안 모니터링 기능

​

ESM은 주로 이벤트 위주의 단시간 위협을 분석하는 것이고, DBMS 기반이다.

​

2. SIEM (Security Information & Event Management)

2015년 가트너에 의해 처음으로 도입된 개념이다. 솔직히 ESM과 기능상 차이나는 부분은 없다.

다만 ESM이 단기 이벤트성 위주 분석이었다면 SIEM은 빅데이터 수준의 장시간 심층 분석 인덱싱 기반이다.

 

ESM과 SIEM 두가지를 나누는 것은 보안관제 업무에서 큰 의미는 없지만

ESM보다는 SIEM이 좀 더 구체적인 조건으로 시나리오를 생성한다는 차이점은 분명 존재하는 것 같다.

두 가지 모두 아래 조건들만 충족한다면 사실 그 이후는 운영하는 실무자의 역량이 크게 작용하는 부분이다.

 

- 보안장비들과 로그 연동이 잘 되는가

- 받은 로그들을 실시간 이벤트로 발생시키는 시나리오가 체계적으로 관리 되는지

- 대량의 로그를 수신해도 가용성 문제가 생기지 않는지

- 다양한 조건으로 시나리오 생성이 가능한지

 

SIEM으로는 HP 아크사이트(ArcSight), IBM 큐레이더(Qrader), 스플렁크(Splunk) 등이 가장 널리 쓰인다.

 

ESM은 수십가지의 다양한 벤더 제품을 관제 해야하는 환경에서, 러프하지만 다양하게 시나리오 관리하는데 좋고

SIEM 구체적이고 디테일한 조건까지 필요한 환경에 적합하리라 본다.