ESM(Enterprise Security Management)

ESM은 다양한 보안 시스템을 통합한 통합 보안 관제 시스템을 말하며, 여기에는 침입차단 시스템, 침입탐지 시스템, VPN 등의 각종 이벤트(Event)를 수집하고 분석할 수 있는 시스템을 의미합니다.

 

ESM의 주요 기능

• 정보보안 정책을 등록하고 자산 및 자원을 관리
• 실시간 관제로 침입이 발생하면 탐지가 가능
• 실시간 보안감사, 위험도 추론 침입탐지, 상관성 분석 가능
• 각종 보안로그 및 이벤트 조회, 분석, 대응 관리등을 지원
• ESM Agent에 대해 정보보안 정책을 통제 가능
• 각종 로그와 이벤트를 수집 및 관리가 가능
• 스케쥴러를 이용하여 자동적으로 보고서 생성이 가능
• 제품별(침입차단 시스템, 침입탐지 시스템, VPN 등) 보고서와 통합 보고서 작성 및 로그 분석을 통하여 통계 보고서를 자동 생성 가능

 

ESM 프로세스

 

ESM은 ESM Agent, ESM Manager, ESM Console로 구성되며 ESM Agent는 각종 보안 솔루션의 로그를 수집하는 역할과 실시간으로 로그를 수집하여 정규 표현식으로 변환 후 ESM Manager에게 전달하는 기능을 합니다.ESM Manager는 ESM Agent로 부터 전달받은 로그를 저장하고 위험분석, 상관성 분석, 추론 탐지등을 분석하고 SSL을 통하여 ESM Console로 명령을 전달합니다.마지막으로 ESM Console는 모든 보안 정보를 모니터링하며 침입 발생 시 명령을 ESM Manager에게 전달. 칩입에 대한 알람 발생과 통합 보안관제 화면을 제공하는 기능을 합니다.

 

ESM(Enterprise security Management)은 각 보안 솔루션 별로 로그를 수집하고 통합하며 시그니처 중심으로 분석을 진행하게 됩니다. 주로 Agent를 통하여 수집된 로그를 바탕으로 IP, Port 단위 분석과 알려진 패턴 위주의 분석을 하며, 수집된 로그는 RDB의 테이블에 데이터를 입력하고 분석하는 프로세스를 거치게 됩니다.