지난 해 e-Security로부터 Sentinel을 인수하고 SIEM 시장에 진입한  Novell이 개정별로 보다 좋아진 내성 제품을 제공한다.

설정   B

Sentinel은 광범위한 환경에 설정하는데 상당한 작업을 요구 할 수 있다. 그러나 이 설정이 힘겹기만 한 것은 아니며 엄청난 시스템 요건 사항이 기업에게는 문제되지 않을 수도 있다.

Novell은 광범위한 환경에서 각 구성 부분을 최대의 수행을 위해 별도의 기계에 설치할 것을 권장한다. 장치에서 데이터를 수집해 Sentinel 이벤트 로그 포맷으로 변환시키는 컬렉터를 설정하는 것은 어느 정도의 노동을 필요로 하지만 결국에는 폭넓은 장치 지원으로 보상해준다. 테스트 목적으로 우리는 이것을 하나의 컴퓨터에 설치했다. Sentinel은 오라클과 마이크로소프트 SQL 서버를 포함하여 다양한 플랫폼(Linux, Solaris, Windows)과 데이터베이스를 지원한다.

관리/모니터링  B+

컨트롤 센터는 운영 중추부의 전단이며 데이터와 이벤트를 분석하는데 대부분의 시간이 소요된다. Sentinel은 논리 GUI의 막대한 데이터를 보여주는 것을 관리한다. 그럼에도 불구하고 너무 많은 데이터를 처리해야 하기 때문에 인터페이스는 처음에는 다소 위협적일 수 있다. 이것은 탭 기반으로, 사용자가 들어가 있는 탭에 따라 변하는 네비게이션 툴바가 왼쪽에 위치한다.

예를 들어 Active View는 실시간으로 이벤트를 살피고 조사한다. Correlation은 이벤트 플로우에 대한 통합과 더불어 사용자가 이벤트 트리거를 함께 묶는 규칙을 만드는 곳이다. Incidents는 상호 관련 규칙에 의해 유발된 경고나 애널리스트에 의해 입력된 이벤트를 보여준다. iTRAC 탭은 워크플로우 툴로, 이벤트 해결을 통해 사건 대응 프로세스를 추적한다. Analysis 탭은 기록 리포팅을 처리하고 Adivsor 탭은 VA 스캐너와  IDS로부터 데이터를 취하고 복구 단계를 제공한다.

이러한 모든 부분들은 상당히 효율적으로 함께 작동하며 사용자가 들어오는 이벤트들을 살펴 의심스러운 것을 구분한 다음 필요한 경우 추적하여 분석할 수 있게 해준다.

상호 관계 툴은 보다 복잡한 트리거 체인을 포함한 규칙을 생성하게 해주는 빌트인 위저드 덕분에 놀랄 만큼 사용하기 쉽다. 예를 들어 우리는 2분 내에 4번의 로그인 실패가 있을 시, 트리거되도록 하는 간단한 규칙을 설정할 수 있었다. 그 다음 우리는 IDS 이벤트나 루트 로그인 시도 등을 반영하는 흥미로운 조합을 생성했다.

우리는 사건을 추적하기 위한 간단한 워크플로우를 만들었는데 이러한 툴을 채용하는 광대한 IT 환경에서는 워크플로우가 매우 복잡해질 수 있음을 유의해야 한다.

조직의 요구사항에 따라 Sentinel을 Remedy와 HP OpenView 같은 제 3자 시스템과 상호작용하기 위한 외부 스크립트와 통합시킬 수 있다. e-Security 인수 이후 주요한 향상 부문은 장치들뿐만 아니라 사용자도 추적할 수 있는 능력으로, 이것은 보안과 컴플라이언스 감사를 위한 기업 SIEM의 중요한 경향이다.

리포팅  B

리포트는 강력하고 인기 있는 툴인 Crystal Reports에 의해 처리된다. Sentinel은 Developer뿐만 아니라 Crystal Server가 있어 사용자는 자신만의 리포트를 생성하거나 수정할 수 있다. Sentinel의 리포트는 어떠한 이벤트 데이터라도 빠짐없이 보여주며 상당히 구성 가능하다.

총평

Sentinel은 대기업을 대상으로 하는 것이기도 하지만 실제로 대기업에 가장 적합하다. 기업의 모든 로그와 이벤트를 분석하고 자동화하기 위한 수많은 기능들과 함께 이것의 잠재력에 익숙해진다면 이것은 굉장히 강력한 툴이 될 수 있다.

<글: 브랜트 휴스턴(Brent Huston)>

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>