[차세대 보안 비전 2019 솔루션 리뷰] 포티넷 ‘포티SIEM’

홈 > 뉴스 > 뉴스 > 보안 | 리스트기사

[차세대 보안 비전 2019 솔루션 리뷰] 포티넷 ‘포티SIEM’

뛰어난 빅데이터 기술로 보안 관제 효과 높여…글로벌·써드파티 위협 인텔리전스 연동

관련기사

[차세대 보안 비전 2019] 4차 산업혁명 위한 보안 전략 한 자리에

[차세대 보안 비전 2019] 보안·성능 모두 만족하는 보안 모델 시급

2019년 03월 26일 12:41:32

데이터넷

webmaster@datanet.co.kr

빅데이터, 머신러닝, AI, 클라우드, 데브시크옵스(DevSecOps)는 IT 기술의 트렌드를 보여주고 있는 대표적인 용어라고 할 수 있다. 새롭고 혁신적인 기술을 활용하는 솔루션으로 ‘SIEM’을 들 수 있다.

SIEM은 네트워크·엔드포인트 보안 솔루션, 애플리케이션 보안 솔루션, 네트워크 장비, 서버 시스템, IoT 등 IT 인프라의 모든 자산으로부터 로그를 수집한다. 파싱된 정보를 바탕으로 시나리오 기반 상호연관분석 룰을 만들어 실시간, 히스토리 검색과 분석을 수행한다. 이러한 결과 정보를 다양한 시각화 기능으로 보여주는 역할을 한다.

SIEM은 다양한 장비로부터 여러 종류의 포맷을 가진 데이터를 수집하고 통합해 연계분석해야 하기 때문에 뛰어난 빅데이터 기술을 필요로 한다. 또한 장애발생 사전 모니터링, 내·외부 위협 발생 및 징후 탐지, 사용자 오남용 트래픽 탐지(UEBA) 등의 기술도 갖추고 있다. AI/머신러닝, 쉬운 오픈소스 분석 툴과 연동 등의 기능도 추가로 요구된다.

포티넷의 ‘포티SIEM’은 CMDB, 이벤트 DB, SVN(SubVerion)을 이용한 진보한 빅데이터 분석 기술을 탑재했다. CMDB는 연동장비 자산정보와 이벤트 타입정보를 RDBMS로 사용해 운영 편리성을 높인다.

이벤트DB는 수집되는 로그와 시나리오 기반 연관분석 룰에 매치되는 인시던트 정보를 저장하며, noSQL기반 분산형 파일 DB를 사용한다. RDBMS 보다 검색속도가 빠르고, 유연하게 구성할 수 있다. SVN은 연동장비의 소프트웨어 정보, 컨피그 정보 등을 저장하는 DB로, 연동하는 장비들의 형상관리 기능으로 사용된다.

글로벌 위협 인텔리전스 연동

포티SIEM은 포티넷 보안 위협 센터인 ‘포티가드’에서 제공하는 IOC 서비스를 사용 할 수 있습다. 악성IP, 악성URL, 악성도메인, 악성 해시 파일 등 매 초, 매 분, 매 시간 마다 업데이트 되는 수많은 정보를 머신러닝과 인공지능을 활용한 포티가드 위협 인텔리전스에서 제공받는다. 써드파티 기관에서 제공되는 보안위협 정보 또한 활용 할 수 있다.

AWS, 애저, GPS와 같은 퍼블릭 클라우드와 VM웨어, KVM, 하이퍼V 등 프라이빗 클라우드로 IT환경이 변경됨에 따라 SIEM 솔루션 또한 이러한 클라우드 플랫폼을 지원해야 한다. 포티SIEM은 하드웨어 어플라이언스 뿐 아니라 퍼블릭·프라이빗 클라우드 플랫폼을 지원하고 있어, 시스템 확장 뿐만 아니라 리던던시 구성까지 유연하게 구축 할 수 있다.