안녕하세요 발표자였던 이명호 팀장입니다. 발표시에는 앞에 Forty 만을 보고 포티 방화벽 포티 네트워크 장비를 말씀하시는줄 알았는데 다른 이야기였네요. 실제로 ISMS인증심사에서 대응하는 부분들은 운영로그및 사용로그들에 대해 검토하고 있는가? 하는 항목에 대해 대응을 하고 있고, 검토 리포트에 대한 생성이나 이런부분들이 가능합니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 사실상 SIEM에대한 부분의 설명보다는 보안 컨설팅 전체적인 요건이라고 볼수 있을것 같은데요. 우리가 방어하고자하는 중요 정보가 무엇이고 이를 방어하기위한 여러가지 솔루션과 혹은 다른 방어기재들에 대해 정리를 하시는 부분은 ISP 컨설팅 사업 영역이라고 보시면 될것 같습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. IBM X-FORCE의 위협정보는 준실시간 성으로 업데이트 되어지고 있습니다. 길게 설명드리긴 어렵지만 위협피드 정보들은 2주만 지나도 쓸모가 없다라고 할정도로 사실상 유동IP와 변형된 파일HASH값들이 많기 때문에 실시간 업데이트가 필요합니다. QRadar를 도입하시고 x-force를 사용하시게 될 경우 업데이트 주기를 어느정도 조절하실수 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 인증심사를 받으실때 보시면 특정 사용로그를 감사하고 있는가? 이런 항목들이 있으실겁니다. 이러한 다양한 증적에 대해서 로그를 보여주실수도 있고, 리포트로 검토하고 있다고 남기실수도 있습니다. 또한 기본적으로 로그 가공이 손쉽게 되어 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 국내에서 실질적인 %를 파악하기는 어렵겠지만, 글로벌 SIEM에서 대표적인 제품이 사실 많지 않습니다. 최민우 차장님이 설명한것처럼 다양한 레퍼런스에서 사용하고 있고, 국내 전체 구축건 중 저희가 50% 가까이 구축하거나 컨설팅등의 서비스를 제공하였습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 사실상 로그의 통합을 요구하실 때 SIEM제품 대부분이 유연하게 대처가 가능하기도하고 개인정보를 다루는 부분을 제외하고는 솔루션 로그의 수집과 통합은 대부분 크게 다르지 않습니다. 특수한 경우 케이스의 경우 특정 개발을 통한 혹은 DB의 로그를 뷰테이블로 만들어 수집하는 경우가 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. UBA머신러닝의 경우 기본적으로 제공하는 시나리오도 있고, 저희가 추가적으로 생성하기도 합니다. 이러한 시나리오 룰들에 종속적이지 않게 자동적인 머신러닝 모델들이 동작하기도 합니다. AI 의 경우 시나리오가 불필요하고 외부의 인텔리전스 정보를 내부의 로그와 비교 분석하여 다이어그램으로 표시해드리고 위협이 있는지를 확인해드리게 되어있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 과거에는 ESM이라는 형태의 솔루션 명칭이였고 현재는 SIEM을 쓰고있다 보시면 될거같습니다. 여러 제조업체들에 대한 부분들을 다 언급하기는 어려울것 같고 대표적 글로벌 업체로는 스플렁크와 IBM QRadar가 있다고 보시면 될것 같습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 협의에 따라 달라질수 있겠지만, 솔루션에 대한 구축과 룰 컨설팅 교육 등의 부분들로 전문가서비스를 지원하고 있습니다. 온라인 형태의 전문 서비스는 해외에서는 지원하고 있으나, 국내에서는 저희도 오프라인 형태로만 거의 지원하고 있습니다.
안녕하세요 발표자였던 이명호 팀장입니다. 대부분의 SIEM제품은 작게는 모니터링용도라고 보실수 있습니다. 말씀하시는 부분은 IPS나 FW와 연계해서 차단을 내리거나 하시는 부분들도 생각하시는것 같은데 이를 위한 SOAR제품군들도 있고 SIEM에서 특정 스크립트나 개발을 통해 연계해서 DENY액션을 내리도록 구성하시는 경우도 있습니다. 대부분의 고객사에서는 자동차단에대한 리스크가 있다고 생각하시기 때문에 쓰지 않는 경우가 더 많습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 온프레미스 솔루션과 클라우드 솔루션의 특별한 차이는 없습니다. 비용적 측면에서 차이가 발생하는 부분은 아무래도 클라우드에 서버를 올려서 써야하기 때문에 이러한 부분의 비용이 추가되어지는 부분만 다르게 됩니다. 클라우드에만 QRadar를 도입하실수도, 온프레미스형태로만 도입하실수도, 하이브리드 형태를 구성하실수도 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 통합보안관제시스템 통합로그시스템 이렇게 두가지 용어를 쓰는경우가 있고 통합보안관제시템은 ESM, SIEM을 의미한다고 보시면 되겠습니다. 발표시에 말씀드렸던것 처럼 통합로그와 통합보안관제 시스템을 별개로 보시는 경우도 있고 하나로 보시는 고객분들도 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 발표시에 정신이 없다보니 Magnitude 수치로만 나타나냐는 표현인지 못봤던것 같네요. 로그의 내용 중 위험성이 있는 IP나 URL , 파일 해시값이 있다면 표시를 하고, 이외에도 연관성이 있는 모든 인텔리전스 정보들을 포함하여 다이어그램으로 표현해 드립니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 일단 SIEM의 보안분석은 대부분 단일 보안솔루션들 (발표자료에서 보안제품 개념도 참조)의 로그를 기반으로 탐지하는게 기본이고 사용자 의도에 따라 여러 데이터를 추가하게 됩니다. 발표때에도 말씀드렸듯이 이러한 보안솔루션의 로그들이 서로 다른경우는 거의 없으며 고객사의 특수한 환경에 따라 추가적 룰을 설정하는 경우가 있습니다. 이러한 부분들은 저희도 경험베이스에서 고객에게 말씀드리는 경우도 있고 고객과의 룰 설정 방향성에 대해 이야기하면서 특이 케이스들을 적용하실 부분이 있는지를 같이 논의한다고 보시면 되겠습니다. 또한 우선순위의 경우 반복성 공격의 중요도를 가지고 자동으로 위험도를 추산하여 상위로 보여드리기도 하고 사용자가 임의로 설정할 수 도 있습니다. 질문 감사합니다. 의도에 따라
안녕하세요 발표자였던 이명호 팀장입니다. 발표시간에도 설명을 드리긴 했지만 엘라스틱 서치의 경우 무료로 SIEM 또는 로그 분석 시스템을 구현하고자 하실경우 많이들이용하고 계십니다. 특히 게임업계의 경우 이를 통한 분석을 활발히 하고 있으나, 좀 전문적인 지식이 필요한 부분과 무료의 사용은 좋지만, 커뮤니티를 이용한 기술을 스스로 습득하시고 찾으셔야하는 불편사항들이 있습니다. 스플렁크의 경우는 빅데이터 플랫폼이라는 이미지가 강하고, 여러가지 확장 대시보드? APP? 을 통해서 기능을 확장시키는 구조로 되어있습니다. 이 제품 또한 좋은 제품이지만 사용법을 익히기 위해 특정 쿼리문을 익혀야 하는 부분들이 있습니다. QRadar SIEM의 특징은 보안분석을 위한 기능에 집중되어있고 운영에 있어 난이도가 낮다는 장점이 있습니다. 이외에도 여러 특징이 있습니다만 댓글 500자 기능에 다 쓰기는 어렵네요 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. UBA의 이상징후 추산은 다양한 모델링을 통해 RISK 스코어링을 기본으로 하고 있고 이러한 위험 점수가 높은 사용자를 상단에 노출하는 형식으로 보여드리고 있습니다. 또한 위험점수만을 가진 머신러닝 모델도 있습니다. 질문 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 발표했을때도 말씀드렸듯이 두제품 모두 좋은 제품입니다. 하지만 운영적인 측면이나 검색 등의 기본적 제공 기능들이 좀더 쉽게 구성되어있다는 점과... 구축 난이도 부터 이용 난이도가 좀더 낮다고 보실수 있습니다. 구축 기간의 경우 사실상 제품의 설치및 로그연동은 1개월정도로 생각하시면 되고, 고객사 환경(지원 여부) 에 따라 달라질수 있습니다. 로그 연동이후 1~2개월정도의 룰 설정 기간을 가지고 있으며, 고객사 요청사항에 따라 더 길게 수행하는 경우도 있습니다. 감사합니다.
안녕하세요 발표자였던 이명호 팀장입니다. 엘라스틱과 스플렁크에 비해 기본적으로 제공되는 룰이 QRadar는 꽤 많은 편입니다. 이외에도 저희의 전문가서비스에서 체계적으로 정리하여 제공해드리고 UBA의 경우 일반적으로 사용자 관점의 이상징후를 탐지하는 것을 기본으로 하고 있습니다. 다크트레이스의 경우는 사실상 로그에 대한 분석보다는 네트워크 플로우 정보들에 대해 머신러닝을 통한 학습과 이상징후를 찾는 솔루션으로 분류상으로는 SIEM과 같은 형태로 분류를 하는 경우도 있으나 약간의 차이가 있다고 보시면 되겠습니다. 질문과 관심 감사합니다.