본문 바로가기 주메뉴 바로가기

최신IT소식

중앙화된 로그 관리를 통한 SIEM 최적화 방안 : syslog-ng

관리자 2019-04-03 조회수 38



중앙화된 로그 관리를 통한 SIEM 최적화 방안 : syslog-ng 

 

 

SIEM(Security Information and Event Management, 보안 정보 빛 이벤트 관리)은 이벤트 로그를 관리하고, 리뷰 및 감사하는 전용 툴로써 기업의 보안 관리에 필수적인 요소로 자리잡고 있습니다.

 

SIEM은 네트워크에 연결된 모든 디바이스에서 발생하는 로그 데이터를 가져와 모니터링 및 분석하면서 이상 징후를 발견하지요. 스플렁크(Splunk), 아크사이트(ArcSight), 큐레이더(QRadar) 등이 대표적인 SIEM 솔루션입니다.

 

하지만 이 로그 데이터를 사용하는 것은 SIEM 뿐일까요? 데이터가 비즈니스의 중심이 되면서 로그 분석 툴, 이벤트 관리 툴, 애플리케이션 성능 관리 툴, BI 등 보안이 아닌 다양한 목적으로 활용되고 있습니다.

 

또 한편으로는 로그를 생성하는 소스가 엄청나게 늘어났습니다. 가상 머신, 애플리케이션, 데이터베이스, 서비스 등등. 소스의 증가와 함께 데이터의 양도 폭발적으로 늘어나고 있지요.

 

다시 말해, 생성되는 로그 데이터의 폭발적 증가, 그리고 이 로그를 활용하는 툴의 증가로 인해 데이터 소스와 데이터 활용 시스템 간의 복잡성이 증가하게 된 것입니다. 복잡성 증가는 소스 시스템이 처리해야 할 로그 데이터가 많아지면서 비용의 증가로 이어집니다.

 

SIEM 솔루션만 하더라도 SIEM이 처리하는 로그의 규모에 따라 과금되는 방식인데, 로그 데이터가 많아질 수록 비용은 높아지고, 처리해야 할 로그가 많으니 성능이 기대만큼 발휘되지 않을 가능성이 높습니다.

 

SIEM 최적화를 원한다면! CLM


 

 

 




 

이런 문제를 해결할 방법은 없을까요? 중앙화된 로그 관리(Centralized Log Management, 이하 CLM) 플랫폼이 바로 그것입니다.

모든 로그 데이터를 받아 전처리한 후, 로그 데이터를 필요로 하는 대상에 데이터를 전송하는 일종의 로그 데이터 허브입니다. SIEM을 예로 들면, CLM을 함께 사용함으로써 데이터 전달 안정성이 향상되면서 SIEM의 처리 성능이 높아지고 비용은 절감할 수 있는 효과가 있습니다.

 

퀘스트의 syslog-ng는 데이터 소스와 SIEM 사이에서 많은 처리성능을 요하는 데이터 파싱, 필터링을 수행하여 SIEM의 성능/비용 측면의 최적화를 해주는 CLM분야의 리더 솔루션 입니다.

 

SIEM에서 보안 관점에서 처리해야 할 데이터와 로그 분석 관점에서 처리해야 할 데이터를 분리해 저장 및 관리하기 때문에 SIEM의 비용 대비 효율성을 증대시켜줍니다.

 

또한, SIEM에서 처리해야 할 데이터의 총량을 줄여서 오버헤드가 감소되기 때문에 노이즈 데이터를 처리할 필요가 없어 SIEM의 처리 성능을 개선할 수 있습니다.

 

SIEM이 일시적으로 다운되더라도 그 사이 모든 로그는 syslog-ng에 저장되기 때문에 심각한 보안 이벤트시 로그 데이터 유실의 걱정이 없어 안정성을 높여주는 것도 눈 여겨 볼 장점입니다.

 

 

 

CLM 플랫폼을 통한 SIEM 최적화에 관심이 있으시면, 언제든 퀘스트소프트웨어 코리아로 문의 주셔서 syslog-ng에 대해 자세히 알아보시기 바랍니다.

 

  • 등록된 댓글이 없습니다.