ArcSight (SIEM) Elastic Stack Integration 보안위협 분석

현재 ArcSight 로 기업내 모든 보안 이벤트 로그를(서비스,사용자 PC) 수집중이다. ArcSight 도 훌륭한 SIEM 솔루션 이나, 실무 운영 관점에서 몇가지 불편한 점이 있다. - 다중 조건 로그 검색시 숙련이 되지 않으면 사용하기가 어려움- 운영시 초기 학습 곡선 및 진입 장벽이 높음- UI 가 직관적이지 못함- 커스터마이징이 어려움(대시보드, 검색 조건등)- 다양한 기능 대비 실제 운영 환경에서 활용도가 낮음 (관리자 마다 틀리겠죠) 요약 하자면, 잘 만들어진 SIEM 솔루션임에도 불구하고 전반적으로 실무에서 운영함에 있어 뭔가 불편하고 어려우며 쉽게 친해지기 어렵다.(적극적으로 활용하여 잘쓰고 있는 곳도 있을 것이므로, 위 내용은 지극히 필자의 주관적인 생각임) 어떻게 하면 ArcSigh..