Implementation of Security Information and Event Management for Realtime Anomaly Detection and Visualization

실시간 이상 행위 탐지 및 시각화 작업을 위한 보안 정보 관리 시스템 구현

In the past few years, government agencies and corporations have succumbed to stealthy, tailored cyberattacks designed to exploit vulnerabilities, disrupt operations and steal valuable information. Security Information and Event Management (SIEM) is useful tool for cyberattacks. SIEM solutions are available in the market but they are too expensive and difficult to use. Then we implemented basic SIEM functions to research and development for future security solutions. We focus on collection, aggregation and analysis of real-time logs from host. This tool allows parsing and search of log data for forensics. Beyond just log management it uses intrusion detection and prioritize of security events inform and support alerting to user. We select Elastic Stack to process and visualization of these security informations. Elastic Stack is a very useful tool for finding information from large data, identifying correlations and creating rich visualizations for monitoring. We suggested using vulnerability check results on our SIEM. We have attacked to the host and got real time user activity for monitoring, alerting and security auditing based this security information management.

지난 수년간, 정부 기관 및 기업들은 취약성을 악용하고 운영을 혼란시키며 중요한 정보를 훔칠 수 있도록 은밀하고 정교하게 설계된 사이버공격에 대하여 적절한 대응을 못하고 있는 상태이다. 보안정보 및 이벤트 관리(SIEM)는 이러한 사이버 공격에 대응할 수 있는 유용한 도구이지만, 시중에서 판매되고 있는 SIEM 솔루션은 매우 비싸며 사용하기가 어렵다. 그래서 우리는 차세대 보안 솔루션을 제공하기 위한 연구 및 개발을 진행하여 기본적인 SIEM 기능을 구현하게 되었으며 우리는 호스트로 부터 실시간 로그 수집과 집계 및 분석에 중점을 두었다. 이 툴은 포렌식을 위한 로그데이터의 파싱과 검색을 제공한다. 이는 기존의 단순한 로그관리 이외에 침입을 탐지하고 보안이벤트의 순위를 이용하여 사용자에게 경고를 할 수 있다. 이러한 보안정보의 운영과 시각화를 위해 Elastic Stack를 사용하였는데, Elastic Stack은 대량의 데이터로부터 정보를 탐색하고 상관관계를 식별하며 모니터링을 위한 풍부한 시각화를 생성 할 수 있는 유용한 툴이다. 본 논문에서는 취약성으로부터 정보를 수집하는 기능을 SIEM에 추가하는 방식을 제안하였다. 호스트를 공격하며 보안정보관리 체계를 기반으로 모니터링, 경고 및 보안감사에 대한 실시간 사용자의 대응을 확인할 수 있었다.