끊임없이 발생하는 사이버 공격과 침해사고에 대응하기 위해 기업·기관은 다양한 보안 솔루션을 도입하고 있지만, 완벽하게 공격을 차단하지는 못한다.
마이크로포커스의 보안정보 이벤트 관리(SIEM) 솔루션 ‘아크사이트(ArcSight)’는 다양한 이기종 로그를 통합하고, 실시간으로 위협을 탐지·분석한다. 이를 통해 포인트 보안 솔루션이 찾지 못한 위협을 탐지할 수 있도록 한다. 아크사이트는 다양한 보안 이벤트를 CEF 기반으로 체계화된 표준화와 분류를 거친 후 사용자와 자산의 중요도, 보안 인텔리전스, 사용자 행위 기반 분석, 실시간 상관관계 분석을 수행한다.
아크사이트는 물리적 IT 장비부터 보안장비, 클라우드, DB를 포함한 애플리케이션, CCTV 등 IT 전반의 모든 시스템으로부터 로그를 수집해 ‘ADP(ArcSight Data Platform)’ 솔루션에서 통합한다. ADP는 수집된 이벤트를 정규화·범주화 하며, 필터링과 로그 축약, 암호화 통신과 중요 정보 난독화 등을 거친다. 그리고 로그 기반 포렌식과 장기간 로그 저장를 제공하며, 병렬 확장으로 검색성능과 저장 용량을 확장한다.
통합된 로그는 상관분석을 위해 ‘아크사이트 SIEM’으로 전송된다. SIEM은 400개 이상 실시간 상관분석 룰을 기반으로 수집된 로그를 1~2초 내에 위협을 탐지한다. 로그 조회 화면, 대시보드, 보고서 등 이벤트 분석에 필요한 리소스를 사용자 정의 방식으로 활용할 수 있도록 해 추가 개발 없이 즉시 사용할 수 이게 한다. 블랙리스트, 국내외 평판DB, 내부자산정보 등 내·외부 보안 위협정보를 보관해 실시간 분석에 활용한다.
분석이 완료된 이벤트는 아크사이트 콘솔을 통해 관제·대응 시스템과 연동해 작동한다. 보안 분석가, 관제인력의 수준과 상관없이 고급분석을 수행할 수 있게 하며, 사용자별 접근권한 관리를 제공한다.
한편 마이크로포커스는 머신러닝 기술과 사용자 및 계정 행위분석(UEBA) 기술을 가진 인터셋(Interset)을 인수하는 한편 R&D 투자를 통해 차세대 SIEM 리더 자리를 공고히 하고 있다. 아크사이트 SIEM은 국내외 정부기관, 대기업, 주요 금융기관 등의 보안관제센터(SOC)에서 가장 많이 운영하고 있으며, 고객사에 24시간 보안관제서비스를 제공하는 보안관제 전문기업에서도 도입해 우수한 관제서비스 인프라를 구현하고 있다.
