보안 도구는 보는 지점과 실행할 수 있는 대응이 서로 다르다

요청 경로의 센서는 단계마다 다른 증거를 보고, SIEM은 그 신호를 같은 사용자·자산·시간의 사건으로 묶습니다.

1 IDS alert
네트워크 관찰 지점

패킷·flow·프로토콜 signature와 anomaly를 탐지해 알립니다.

차단은 연동이 필요하고, 튜닝이 없으면 잡음이 우선순위를 흐립니다.

2 IPS drop/reset
트래픽 인라인

세션 상태와 L3-L7 signature를 보고, 패치 전에도 흐름 중간에서 차단합니다.

오탐은 정상 트래픽을 막으므로 예외와 fail-open 기준이 필요합니다.

3 WAF block/rate
TLS 종료 뒤 HTTP

method·path·header·cookie·body·API schema로 SQLi·XSS·bot을 거릅니다.

challenge도 가능하지만 로직 남용과 인증·인가 오류는 앱이 해결해야 합니다.

4 EDR isolate/kill
호스트 실행 지점

프로세스·파일·레지스트리·메모리·명령행과 로컬 통신을 추적합니다.

격리는 업무를 멈출 수 있고, 앞단 DDoS 흡수는 CDN·ISP의 역할입니다.

SIEM · correlate 센서가 아니라 여러 계층의 증거를 한 사건으로 묶는 작업대입니다.
수집WAF·IDS·EDR·IAM·cloud·app·audit log
정규화시간·사용자·자산·필드 이름을 맞춤
상관분석흩어진 신호를 하나의 공격 흐름으로 연결
우선순위로그 품질과 룰 튜닝에 따라 경보 가치가 결정

운영 기준 관찰→차단→상관분석을 연결하되, 인라인·호스트 조치에는 예외, rollback, 영향 범위를 함께 설계합니다.