ESM과 SIEM 개념과 차이점

개요

보안장비 항목 확인하는 것 중에서 로그관리를 어떻게 하고있는지 확인하는 항목이 있는데 두 솔루션에 대한 개념이 부족해서 몇자 적어본다... 쉽지않음

 

ESM & SIEM?

일단 두가지 모두 로그관리 솔루션이다. 

ESM

: 각각 다른 보안 장비의 로그/이벤트를 한번에 관리하는 시스템. 주로 이벤트 위주의 단시간 위협 분석. DBMS 기반

- 특징 : 중앙에서 정책 제어가 가능하지만, 단기간의 이벤트 로그만 기록이 가능하다는 단점이 있다.

 

SIEM

:기능상 두개가 차이가 크게 없다. 다만 얘는 빅데이터 수준의 장시간 심층분석이라고 볼 수 있다.

- 특징 : 장기간의 데이터도 성능저하없이 수집하고 검색할 수 있는 빅데이터 기반의 통합 로그 수집 시스템

 

결론

보안관제 업무에서 ESM과 SIEM 을 나누는건 크게 의미가 없지만, SIEM이 조금 더 구체적이고 ESM이 좀더 간단하다고 볼 수 있겠다.