ESM(Enterprise Security Management)

ESM(Enterprise Security Management)

• 기업의 정보보안 정책을 반영하여 다수 보안 시스템을 통합한 통합 보안관제 시스템
• 침입차단 시스템, 침입탐지 시스템, VPN 등으로 통합보안을 구현한다.

ESM 주요 기능

통합 보안관제 업무

• 보안 정책 등록 및 자산, 자원 관리
• 실시간 종합관제가 지원되어 침입 발생 시 탐지 가능
• 각종 보안로그 및 이벤트에 대한 조회, 분석, 대응 관리 지원
• 실시간 보안감사, 위험도 추론 침입탐지, 상관성 분석 지원

ESM Agent 관리

• 수집해야 하는 로그 정보와 각종 이벤트 관리

분석 보고서 관리

• 보안 제품별 보고서를 작성하고 로그를 분석하여 각종 통계 보고서를 자동 생성
• 스케줄러를 사용해 자동적으로 보고서 생성

ESM 구성 요소

• ESM은 ESM Agent, ESM Manager, ESM Console 3단계 아키텍처로 구성된다.

ESM Agent

• 각종 보안 솔루션의 로그를 수집하는 역할을 수행
• 실시간으로 로그를 수집하여 정규 표현식으로 변환한 후 ESM Manager에게 전달한다.

ESM Manager

• 로그를 데이터베이스에 저장, 위협 분석, 상관성 분석, 위협도 추론 침입탐지 등의 분석
• SSL을 사용해 ESM Agent에서 ESM Console로 명령을 전달한다.

ESM Console

• 모든 보안정보를 모니터링하며 침입 발생 시 명령을 ESM Manager에게 전달
• 각종 침입에 대한 알람이 발생하며 통합 보안관제 화면을 제공

SEIM과의 차이점

• SIEM(Security Information Event Management)는 통합 보안관제 측면에서는 ESM과 거의 유사한 통합 보안 솔루션으로  모두 각종 보안 솔루션으로부터 로그를 수집하고 분석하는 기능을 한다.
• ESM은 수집된 로그 및 분석 정보를 데이터베이스에 저장하고 관리한다. SIEM은 빅 데이터를 사용하여 대용량의 로그 정보를 보관하고 각 컬럼별 인덱싱이 가능하여 빠르게 대용량의 데이터를 분석할 수 있다.