Security Information and Event Management - 보안 & 프라이버시 > 사이버 보안 | AI Insight Note

SIEM(Security Information and Event Management)은 조직의 보안 이벤트를 실시간으로 수집, 분석, 상관관계 분석하여 위협을 탐지하고 대응하는 시스템이다. 로그 관리(SIM)와 이벤트 모니터링(SEM)의 결합으로, SOC(Security Operations Center)의 핵심 도구다.

SIEM 아키텍처

데이터 소스:
방화벽, IDS/IPS, 웹서버, DB, 엔드포인트, 클라우드, AD
         ↓ (로그/이벤트 수집)
[수집 에이전트 / Syslog / API]
         ↓
[정규화 / 파싱 (공통 형식 변환)]
         ↓
[상관관계 분석 엔진]  ←── [위협 인텔리전스 피드]
         ↓
[알림 / 대시보드 / 티켓팅]
         ↓
[SOC 분석가 → 대응 → SOAR 자동화]

핵심 기능

기능	설명
로그 수집	다양한 소스에서 이벤트 집중 수집
정규화	다른 포맷을 공통 스키마로 변환
상관관계 분석	여러 이벤트를 연결해 위협 패턴 탐지
알림	임계값/패턴 기반 알림 생성
포렌식	사고 조사를 위한 이력 검색
컴플라이언스	PCI-DSS, HIPAA, GDPR 감사 로그

상관관계 규칙 예시

규칙: 브루트포스 공격 탐지
IF  동일 IP에서 5분 내 SSH 로그인 실패 10회 이상
AND 이후 동일 IP에서 로그인 성공 1회
THEN 알림 생성: 심각도 Critical, "계정 탈취 가능성"

주요 SIEM 제품

제품	벤더	특징
Splunk	Splunk	강력한 검색, SPL 쿼리
Microsoft Sentinel	Microsoft	클라우드 네이티브, Azure 통합
IBM QRadar	IBM	엔터프라이즈 특화
Elastic SIEM	Elastic	오픈소스 기반
Wazuh	Wazuh	오픈소스, 무료

SOAR와의 연계

SOAR(Security Orchestration, Automation and Response)는 SIEM 알림을 자동 대응하는 플랫폼이다.

SIEM 알림 → SOAR 플레이북 자동 실행:
  - 의심 IP 방화벽 차단
  - 사용자 계정 잠금
  - 슬랙 알림 전송
  - 티켓 자동 생성

Security Information and Event ManagementSIEM (보안 정보 및 이벤트 관리)

SIEM 아키텍처

핵심 기능

상관관계 규칙 예시

주요 SIEM 제품

SOAR와의 연계

관련 개념