SIEM(Security Information Event
Management) 솔루션은 대부분 보안관제센터
(Security Operation Center)에서 운영하는 필
수적인 위협탐지시스템으로 기관 내부환경에서
정보를 수집하여 위협을 탐지한다. 이 때 같은
SIEM 솔루션 중 기관에 적합한 SIEM 솔루션
선택을 위한 다양한 연구들이 수행되었다.
예로 기존 연구들은 수집대상에서 발생하는
이벤트수(Event Per Sec)를 기반으로 한 시스템
구성 관점, SIEM 제품에 대한 기술적인 관점, 또
는 사용자 요구사항 기반 비기술적 요소에 대한
관점에서 SIEM을 평가하였다. 하지만 이러한 기
존 연구들은 기관에서 도입했을 때 기대할 수 있
는 실제 위협탐지 능력을 파악하기 어려웠다.
본 연구에서는 기관이 SIEM 솔루션을 도입할 때
기대할 수 있는 위협탐지 능력을 평가하는 방법
을 제안한다. 기존에는 SIEM에서 제공하는 모
든 종류의 위협 탐지가 기관에 적용 가능하다는
전제가 있었다. 하지만 제안하는 방법은 기관에
서 SIEM에서 요구하는 실제 데이터를 얼마나
제공할 수 있는지, 그리고 그 데이터를 통해 실
제로 구현 가능한 위협 탐지가 얼마나 되는지를
평가한다. 이를 위해 알려진 MITRE ATT&CK
에 기반한 위협 탐지를 표현하기 위한 온톨로지
를 구축하였다. 도입하려는 기관과 SIEM을 제
공하는 회사는 이 온톨로지를 기반하여 위협평
가에 필요한 기관 내 네트워크 환경과 SIEM 솔루
션에서 수집해야 하는 데이터를 공유한다.
데이터 공유를 위해 온톨로지를 이용함으로
기관내부에서 제공할 수 있는 정보를 여러 회사
SIEM 솔루션 평가 시 재사용 가능하며 또한 위
협탐지 분석결과 지속 관리하여 향후 SIEM 솔
루션 도입 시 재사용 및 기관에서 필요한 위협
탐지 능력을 보유를 위해 요구되는 사항들을 쉽
게 도출할 수 있다.
평가모델에 대한 검증을 위해서 사례연구(CASE
STUDY)를 실시하며, 실제 평가모델을 사용할
인원을 대상으로 내부환경을 고려한 평가방법
및 평가를 위해서 요구되는 업무를 수행할 수
있는지에 대한 설문을 실시하여 실효성 및 적용
가능성을 확인하였다.
SIEM(Security Information Event Management) solutions are mostly essential
threat detection systems operated by the Security Operation Center. SIEM
collect information from an organization’s IT infrastructure to detect threats,
so Performance may vary even if the same SIEM solution is applied to the
organization. Thus, various studies have been conducted to select SIEM
solutions suitable for the organization.
However, it was difficult to identify the degree of threat detection improvement
that could be expected when introduced by an organization, because existing
studies focused only on the Physical System Design and configuration
perspective based on Event Per Sec, the technical perspective on SIEM
products, and the non-technical elements based on user requirements.
However, in order to assess possible threat detection improvements in practice,
there was a problem that both the organizations they wanted to introduce and
74
the companies that provided SIEM had to provide information that might be
confidential, such as how the data was analyzed.
This study proposes a way to assess the threat detection capabilities that an
organization can expect to get when introducing SIEM solutions. Ontology was
established for the assessment of threat detection based on well-known
MITRE ATT&CK. Based on this ontology, organizations and providers share
data that must be collected from the internal network environment for threat
assessment, except for confidential portions.
A case study (CASE STUDY) was conducted to verify the evaluation model.
And to take the opinions of the field, a survey of the evaluation model was
conducted on the internal personnel of the organization who may involve in
evaluation process
