통합 보안 관제 시스템 SIEM

정의 : 기업 내에서 발생하는 모든 자원 정보 및 보안 이벤트를 통합 관리를 한다.
관리/분석 대상 : 보안시스템, 보안S/W, 서버시스템, 네트워크 장비, 어플리케이션 등
핵심 용도 : 대용량 데이터 분석, 보안 위협 예측 및 모니터링
SIEM 보안솔루션 툴 : elk 

ESM ↔ SIEM

SIEM은 기존의 ESM 보다 로그 수집과 분석 , 검색에 좀 더 특화되어 있음
각종 보안 로그 뿐만 아니라 DB 서버, 운영체제 로그, 애플리케이션 로그와 비정형화된 로그 데이터를 
분산 로그 수집 에이전트를 통해 수집

ELK(Elasticsearch+Logstash+Kibana)

Logstash : 각종 이벤트 로그를 수집하는 서비스
ElasticSearch : 데이터 분석 및 검색 서비스
Kibana : 시각화 서비스

Log -> Logstash ---로그 수집 및 저장,파싱--->ElasticSearch ----> 로그 데이터 분석-->Kibana

ElasticSearch

개념 : 빅데이터 분석이 필요한 곳에서 사용되는 오픈소스 분산 검색 엔진 서버

Logstash

개념 : 각종 이벤트와 로그를 수집하고 저장해주는 로그 관리 도구

Kibana

개념 : 데이터를 웹 인터페이스를 이용해 시각화해 대시보드를 구성하는 도구

실습환경

dvwa ----snort ---- elk 

snort : IDS/IPS Open Source

ubuntu : snort 설치 [비밀번호 : 암호1.]