SIEM 활용사례

 

SIEM(Security Information & Event Management) 정의 및 기능, 구축절차, 중요성

 

1. 네트워크 침입 탐지 (Network Intrusion Detection)

• 브루트포스 탐지 (Brute Force Detection): 동일 IP에서 반복적으로 실패한 로그인 시도를 식별.
• 포트 스캔 활동 탐지 (Port Scanning Activity): 짧은 시간 안에 여러 포트를 스캔하는 호스트를 탐지.
• 횡적 이동 탐지 (Lateral Movement Detection): 내부 시스템 간 비정상적인 이동을 감지.
• 의심스러운 네트워크 활동 (Suspicious Network Activity): 네트워크 트래픽에서 비정상적인 패턴이나 의심스러운 행동을 분석.

2. 악성코드 및 취약점 탐지 (Malware and Exploit Detection)

• 악성코드 탐지 (Malware Detection): 악성 파일 실행 또는 의심스러운 파일 해시를 식별.
• 명령 및 제어 트래픽 탐지 (Command and Control (C2) Traffic Detection): 악성 서버와의 비정상적인 통신을 탐지.
• 랜섬웨어 활동 탐지 (Ransomware Activity Detection): 파일 암호화 활동 급증과 같은 랜섬웨어 징후를 탐지.
• 취약점 시도 탐지 (Exploit Attempt Detection): 시스템 로그에서 취약점 공격의 지표를 분석.

3. 내부 위협 및 비인가 접근 탐지 (Insider Threats and Unauthorized Access Detection)

• 비인가 접근 시도 (Unauthorized Access Attempt): 제한된 시스템에 대한 예기치 않은 접근 시도를 기록.
• 내부 위협 탐지 (Insider Threat Detection): 내부 사용자의 비정상적인 데이터 접근이나 활동을 감지.
• 과도한 파일 접근 (Excessive File Access by a Single User): 단일 사용자가 대량의 파일을 다운로드하거나 삭제하는 활동을 탐지.
• 권한 상승 시도 (Privilege Escalation Attempt): 비인가 권한 변경 시도를 식별.

4. 사용자 행동 모니터링 (User Behavior Monitoring)

• 이상 사용자 행동 (Anomalous User Behavior): 사용자의 평소 행동 패턴과 다른 행동을 추적.
• 비정상적인 로그인 위치 (Unusual Login Location): 예상치 못한 지리적 위치에서의 로그인 시도를 탐지.
• 근무 시간 외 관리자 계정 로그인 (Privileged Account Login Outside Business Hours): 근무 시간 이후의 관리자 계정 사용을 탐지.

5. 데이터 보호 및 유출 방지 (Data Protection and Exfiltration Prevention)

• 데이터 유출 탐지 (Data Exfiltration Detection): 대량의 아웃바운드 데이터 전송과 같은 이상 패턴을 탐지.
• 의심스러운 USB 장치 활동 (Suspicious USB Device Activity): 비인가 USB 연결을 모니터링.
• 클라우드 저장소 업로드 급증 (Cloud Storage Upload Spikes): 외부 클라우드 저장소로의 과도한 업로드를 탐지.

6. 엔드포인트 및 애플리케이션 보안 (Endpoint and Application Security)

• 의심스러운 PowerShell 명령 실행 (Suspicious PowerShell Command Execution): 악의적인 활동을 나타낼 수 있는 명령어를 모니터링.
• 의심스러운 애플리케이션 설치 (Suspicious Application Installation): 비인가 소프트웨어 설치를 탐지.
• 브라우저에서의 의심스러운 스크립트 실행 (Suspicious Script Execution in Browsers): 브라우저를 통해 실행되는 악의적인 스크립트를 탐지.

7. 시스템 구성 모니터링 (System Configuration Monitoring)

• 방화벽 정책 변경 탐지 (Firewall Policy Change Detection): 방화벽 규칙의 비인가 변경을 추적.
• 비인가 구성 변경 (Unauthorized Configuration Change): 중요 시스템에서의 예상치 못한 변경을 탐지.
• 새로운 서비스 설치 (New Service Installation): 비인가 서비스 설치를 감지.

8. 위협 사냥 및 사고 대응 (Threat Hunting and Incident Response)

• 파일 무결성 모니터링 (File Integrity Monitoring): 중요 파일의 예기치 않은 변경을 감지.
• 비컨 트래픽 탐지 (Beaconing Traffic Detection): 주기적인 아웃바운드 트래픽을 통해 감염된 시스템을 식별.
• SMB 횡적 이동 탐지 (SMB Lateral Movement Detection): SMB 프로토콜 악용 신호를 분석.

9. 클라우드 및 API 보안 (Cloud and API Security)

• 비인가 클라우드 계정 로그인 (Unauthorized Cloud Account Login): 클라우드 플랫폼에서의 의심스러운 로그인 시도를 탐지.
• 비인가 API 호출 탐지 (Unauthorized API Call Detection): 클라우드 환경에서의 잘못된 API 호출을 모니터링.

10. 고급 위협 탐지 (Advanced Threat Detection)

• DNS 터널링 탐지 (DNS Tunneling Detection): 비정상적인 DNS 트래픽 패턴을 분석.
• Tor 네트워크 연결 탐지 (Tor Network Connection Detection): Tor 네트워크와의 연결을 식별.
• 이상한 파일 삭제 패턴 (Anomalous File Deletion Patterns): 대량 파일 삭제와 같은 의심스러운 활동을 탐지.