Security Engineer · SIEM

SIEM 경보 분류와 대응 라우팅

여러 로그 원천에서 들어온 이벤트가 상관분석, 심각도 판단, 담당자 배정, 대응 티켓으로 이어지는 처리 절차를 정리한다.

01

로그 정규화

장비마다 다른 필드를 시간, 출발지, 목적지, 계정, 이벤트명으로 맞춘다.

normalize
02

상관분석

단일 이벤트가 아니라 짧은 시간의 반복, 실패 후 성공, 여러 장비 신호를 묶는다.

correlate
03

심각도 산정

자산 중요도, 공격 단계, 영향 범위를 반영해 우선순위를 정한다.

severity
04

대응 라우팅

네트워크, 서버, 개인정보, 침해사고 담당으로 티켓과 조치 요청을 보낸다.

route
False positive
정상 이벤트 오탐 업무 배치, 스캐너, 점검 도구처럼 허용된 행위인지 확인한다.
튜닝
Suspicious
추가 확인 필요 단일 근거는 약하지만 계정, IP, 시간 패턴이 어색한 상태다.
원인 분류
Incident
대응 절차 개시 피해 가능성과 재현 근거가 있어 차단, 분석, 보고 절차로 넘긴다.
escalate

운영 품질

시간 동기화 NTP가 맞지 않으면 상관분석 신뢰도가 떨어진다.
자산 중요도 동일 이벤트도 핵심 서버에서는 심각도가 올라간다.
룰 개선 처리 결과를 룰 튜닝과 예외 관리에 다시 반영한다.