[보안_GPT] SIEM이란?

🔥 1. SIEM이란?

정의:
SIEM은 기업의 IT 시스템과 네트워크에서 발생하는 보안 이벤트와 로그를 수집, 분석, 저장하여 보안 위협을 탐지·관리하는 시스템이야.

즉:

👉 “모든 시스템 로그와 이벤트를 한 곳에서 모아 이상 징후를 분석하고, 보안관제팀이 빠르게 대응할 수 있도록 돕는 플랫폼”

• SOC(Security Operation Center) 핵심 도구
• 실시간 모니터링 + 장기 로그 분석 가능

---

🔹 2. SIEM 주요 기능

1️⃣ 로그 수집(Log Collection)

• 방화벽, IDS/IPS, WAF, 서버, DB 등 다양한 장치 로그 수집

2️⃣ 이벤트 상관분석(Event Correlation)

• 서로 관련된 이벤트를 연결하여 공격 패턴 탐지
• 예: 여러 시스템에서 동시 로그인 실패 → 계정 공격 의심

3️⃣ 실시간 경보(Alerting)

• 이상 징후 발생 시 SOC 담당자에게 알람 발송

4️⃣ 보관 및 감사(Audit & Compliance)

• 법규, 규정 준수를 위한 로그 저장
• 사고 발생 시 분석 근거 제공

5️⃣ 대시보드 & 리포팅

• 보안 현황 시각화
• 주기적 보안 리포트 생성

---

🔹 3. SIEM 활용 사례

• 계정 탈취 시도 탐지: 비정상 로그인 패턴 분석
• 내부자 위협 탐지: 권한 이상 사용, 민감 데이터 접근 모니터링
• DDoS / 공격 징후 탐지: 네트워크 이벤트 상관분석
• 규제 준수: GDPR, ISO 27001, 금융권 감사 대비

---

🔹 4. SIEM 구성 요소

구성 요소설명

로그 수집기(Collector)	다양한 장치/서버 로그 수집
로그 저장소(Storage)	장기 보관, 검색 가능
분석 엔진(Analyzer)	이벤트 상관분석, 패턴 탐지
알람 & 보고(Alert & Reporting)	이상 이벤트 알림, 리포트 생성
대시보드(Dashboard)	시각화 및 보안 현황 모니터링

---

🔹 5. SIEM 장점

• 중앙 집중식 보안 모니터링
• 보안 위협 탐지 속도 향상
• 사고 대응 시간 단축
• 규제/컴플라이언스 대응 용이
• 보안관제 자동화 가능

---

🎯 한 문장 요약

SIEM = 기업 내 모든 시스템과 네트워크에서 발생하는 로그와 이벤트를 수집·분석하여 보안 위협을 탐지하고 대응을 지원하는 보안 관리 플랫폼