ESM / SIEM / SOAR 각각의 의미??
ESM / SIEM / SOAR는 이기종간 서로다른 보안장비들의 로그를 관리자가 보기 편하도록 한곳에 저장하는 솔루션인 것이 공통점입니다.
ESM(Enterprise Security management)
과
SIEM(Security Information & Event Management)를 같이보면 이해가 쉽습니다
ESM : 각기 다른 보안장비 ex)IDS,IPS,WAF,firewall 간의 로그들을 ESM이라는 장비에 보아 관리하기 편하도록 해주는 솔루션이다.
중앙에서 통제 즉 정책제어가 가능하며, 가장 큰 단점은 단기간적으로 짧은기간의 이벤트로그만 기록가능하다.
SIEM : esm과 유사하지만 가장 큰 차이점은 장기간의 데이터도 성능 저하 없이 수집/검색할 수 있는 빅 데이터 기반의 통합 로그 수집 시스템이다.
SOAR(Security Orchestration, Automation and Response) : 보안오케스트레이션이라고도 불리며 siem을 포함, 보안관제의 단점을 극복했으며 여러 이기종간의 보안장비에서 데이터를 수집하여 분석하는 단순업무를 자동화시켜주는 솔루션입니다.
SOAR는 자동으로 위협 의심 정보를 식별하고 판단해 보안솔루션에 자동으로 보안정책을 내려주는 기능을 제공하여보안관제 요원의 업무를 줄이고 반복적인 업무에서 벗어나 더 높은 수준의 위협에 대응할 수 있는 최근 떠오르는 솔루션입니다.
하지만 단점으론 도입과정이 깨나 까다롭다는게 단점입니다.
★☆피드백은 언제나 환영입니다.☆★
출처 soar