SIEM vs SOAR vs ESM

보안 솔루션을 조사하다보면, siem/soar/esm 등의 용어를 많이 접할 것이다.

하지만 명확하게 알려주는 글은 거의 못 본 것 같다. 

그렇지만 면접에서 종종 나오기 때문에,, 개념 정도는 잡고 넘어가는게 좋을 것 같다.

(나의 경우, esm이 뭔지 아냐는 질문을 받았고.. 통합로그시스템으로 그 결과를 보고서 형태로 담당자에게 보내는 솔루션이라고 이야기했었다)

 

 

결론부터 이야기 하면, siem와 esm은 같은 형태의 솔루션이고, soar는 더 업그레이드된 솔루션이라고 볼 수 있다.

발전 순서를 보자면

ESM -> SIEM -> SOAR 

이 순서다.

 

 

ESM은 단순히 보안 로그만 저장하여 관리하는 단기 이벤트성 위주 분석 솔루션이고,

SIEM은 모든 로그를 인덱싱하여 검색하여 분석할 수 있도록 하는 장시간 심층 분석 솔루션이다.

즉, 인덱싱 차이가 있을 뿐이다. 

 

 

그렇다면 SIEM과 SOAR의 차이는 무엇일까?

SIEM은 보안장비로부터 로그를 받아서 로그가 쌓일 수 있도록 하고, 조건별 시나리오대로 탐지되어 alert해주고 저장해주는 솔루션이다.

SOAR는 마치 오케스트라처럼 각 장비별로 시나리오 전달받아서, IP 차단 등의 조치(대응)을 해주는 솔루션이다. 로그들을 보고 자동 대응을 하게 하는 것이다.

즉, 로그들을 받아 SIEM이 시나리오 조건에 부합하는 보안 위협에 대해 alert해주는 것이고,

자동화된 스크립트에 따라 action을 해주는 것이 SOAR이다.

(action에는 ip차단, host isolation 등의 행위가 있겠지...?)

사진 출처: Life in Hong Kong 블로그

 

이제는 네트워크 단이 아니라 edr과 같은 endpoint 단까지의 보안 로그를 수집하는 추세이다.

edr은 서버 단(agent)의 위협을 탐지하는 엔드포인트 보안 솔루션으로, 관제에서는 보통 웹쉘 공격을 탐지한다.

 

끝