SIEM ESM 설명, 차이 사용이유

보안에 대한 관심은 점점 높아지는데요

기업에서는 보안에 관한 모든 것들을 다 따로따로 관리하기 힘들기 때문에
어느 정도 규모의 기업들에서는 통합 관리 시스템을 구축해서 사용하고 있습니다
보안 기업을 희망하시는 분들도 이러한 시스템을 운영하고 있는 기업이라면 
한번쯤 보시는 것도 좋을 거라고 생각합니다 

 

 

ESM과 SIEM의 정의

ESM(Enterprise Security Management)

여러 관제장비로부터 나오는 데이터를 한곳에서 관리할 수 있게 해 주는 솔루션이다. 방화벽, IDS, IPS 등에서 나오는 정보를 수집하여 대응이 필요한 데이터에 대해 알림을 주고 통계 데이터나 그래프, 리포트등을 제공한다. 관제 시스템에 개별적으로 탑재를 시켜서 전사 보안정책에 따라 중앙 통제도 할 수 있다.

 

SIEM(Security Information and Event Management)

ESM이 관제 종합 관리 시스템이라면, SIEM은 기업 정보에 대한 종합 관제 솔루션이라고 할 수 있다. 비슷한 개념이지만 더 고도화된 개념으로 통용된다. 보안 장비에서 생성되는 데이터 외에도 기업 전사시스템에서 발생하는 모든 이벤트를 수집하여 빅데이터 분석 수준으로 통합 분석한다.

단순히 ESM의 업그레이드판이라고 부르지 않고 굳이 비교우위, 비교열위를 구분 하자면 아래와 같다.

 

ESM과 SIEM의 장단점

ESM

- 장점 : 중앙 통제, 정책 제어 기능 포함
- 단점 : 로그를 ESM이 받아들일 수 있는 포맷으로 제공해야 함

 

SIEM

- 장점 : 빅데이터 기반으로 비정형, 이기종 로그에 대한 통합 분석
- 단점 : ESM엔 기본적으로 중앙 통제, 정책 제어기능이 포함되어 있지만 SIEM에선 당연 사항은 아니다.

 

감사합니다 ^^