심사숙고해야 할 SIM 쇼핑목록      

SIM을 구입하기 전, 당신이 고려해야 할 6가지 질문들이 여기에 있다.

1. 시스템이 자료를 어떻게 수집, 저장하는가?

2. 비즈니스 규칙이 어떻게 표현되는가?

3. SIM이 능동 대응(Active Response) 을 어떻게 허락하는가?

4. 그 시스템의 포렌식 능력은 어떠한가?

5. SIM이 당신의 데이터 보존 요건을 지원할 수 있는가?

6. 그것이 유용한 보고를 생성하는가?

<조엘 슈나이더(Joel Snyder)>

Agent VS Agentless 접근

비록 윈도우가 애플리케이션에 대해 일반적 기록 시스템을 가지고 있지만, SIM에 대해 로그 엔트리를 얻는 것은 당연한 운영 과정이 아니다. 기록 정보를 이출하기 위해서는, 기존 윈도우 API를 사용하는 기록들을 끌어내기 위해 SIM 충분 자격을 주거나 윈도우 시스템에서 SIM으로 기록을 밀어 보내는 에이전트를 추가해야 한다.

일부 네트워크 관리자에 대해, 종종 무대행이라 불리는 ‘끄는’ 방법(‘Pull’ Method)은 결점을 무효로 하는 큰 이점이 있다. 기록을 수집하기를 원하는 시스템으로부터 그 시스템 상에 소프트웨어를 설치할 필요가 없다. 그러나 풀(Pull) 전략으로, 기록 정보는 일반적으로 윈도우 사건 기록으로 제한된다. 게다가 기록을 모으기 위해 SIM 충분 자격을 주는 것이 혼란스러울 수 있다. 그러나 노터치 설치의 매력이 크다.

당신이 설치하는 에이전트와 함께, SIM은 더 최신식이고, 에이전트의 스마트(Smart)에 의존적이고, 단순한 사건 기록보다 더 다양한 성능과 보안 정보에 접근할 수 있다. 일부 공급자들은 윈도우 사건 기록 엔트리를 시스로그 사건으로 단순히 번역하는 에이전트를 제안하며 선택 프로토콜로서 시스로그 사용을 선택했다. 다른 공급자들은 더 풍부한 정보 세트를 포착하기 위해 그들 자신의 에이전트를 기록함으로써 더 첨단의 접근법을 취했다.

물론 이것들이 서로 배타적이지는 않다. 동일한 SIM 상에서 당신은 워크스테이션 상에서 무대행 ‘풀(Pull)’ 기술을 사용하는 한편, 서버 같은 고인지도(High-Profile) 시스템 상에서 에이전트 설치를 선택할 수 있었다. 

SIM & 저장

SIM을 구매하기 전 얼마나 많은 저장 용량이 필요한지에 대한 결정은 여러 요인에 따라 이루어진다. 두 가지 핵심 요인은 얼마나 많은 장치들이 SIM에서 보고되는 지와 당신의 회사 데이터 보존 정책이다.

아크사이트(ArcSight)는 많은 경우에서, 고객들이 원래 계획했던 것보다 SIM으로 자료를 공급하는 더 많은 장치를 원하기 때문에 그들의 저장 요건을 과소평가하는 것을 알게 되었다고 마케팅과 비즈니스개발의 수석 부사장인 스티브 소머(Steve Sommer)씨가 말한다.

저장 요건은 회사가 자료를 며칠, 몇 주, 몇 달간 보관하고, 어떻게 보관할 계획인지에 따라 다양하다.

 “그들이 모든 개개 사건과 기록을 수집하기를 원하는가 아니면 컴플라이언스 또는 보안과 관계 없는 자료는 걸러내기를 원하는가?”라고 소머씨가 묻는다. “그것이 여러 요인들에 의해 저장에 영향을 미칠 수 있다.”

네트포렌식의 시스템 엔지니어링부장인 수닐 라쓰(Sunil Rath)씨는 500MB 하드 드라이브 디스크가 거의 1백만 보안 사건을 저장할 수 있다고 어림잡는다. 그러나 그는 저장 요건이 클라이언트의 보존 정책과 장치 메시지량에 따라 다르다는 점에 동의한다.

미국 국립 표준 기술원(NIST)은 최근에 컴퓨터 보안 기록 관리를 위한 지침인 특별 간행물을 공개했고, 소머씨는 이것이 산업에 도움이 될 것이라 말한다. 그 문서에는 장기 데이터 보존 관리에 관한 지침들이 들어있다. 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>