Oracle Cloud 에서 제공하는 SIEM 보안 기능

안녕하세요 테크넷 마스터 김재벌 입니다.

 

오라클 클라우드의 보안 기능에 대해서 간략하게 정리하는 시간을 가져보려고 합니다.

 

이중에서도 SIEM 에 대한 기능에 대해서 이번 포스팅에서는 정리해 보려고 합니다.

 

 

Oracle Cloud Infrastructure (OCI)는 보안 정보 및 이벤트 관리(SIEM) 기능을 위한 다양한 도구와 서비스를 제공합니다. OCI의 주요 SIEM 관련 기능은 아래와 같습니다.

 

Cloud Guard

Cloud Guard는 OCI의 핵심 보안 모니터링 및 대응 서비스입니다. 주요 기능:

• 지속적인 보안 상태 모니터링
• 보안 위협 탐지 및 자동 교정
• 사용자 정의 가능한 탐지기 및 응답기 규칙
• 이벤트를 외부 SIEM 시스템으로 내보내기 가능

로깅 서비스

• 다양한 OCI 서비스의 로그를 중앙 집중화
• 감사 로그, 서비스 로그, 사용자 지정 로그 등 수집
• 로그 데이터를 스트리밍 서비스로 전송 가능

스트리밍 서비스

• 로그 및 이벤트 데이터를 실시간으로 수집 및 처리
• 외부 SIEM 시스템과 통합하기 위한 Kafka 호환 인터페이스 제공

이벤트 서비스

• OCI 리소스의 상태 변경 이벤트 캡처
• 이벤트를 기반으로 자동화된 워크플로우 트리거 가능

Service Connector Hub

• 다양한 OCI 서비스 간 데이터 이동 오케스트레이션
• 로그 및 이벤트 데이터를 스트리밍 서비스나 외부 시스템으로 라우팅

취약점 스캐닝 서비스

• 컴퓨트 인스턴스 및 컨테이너의 취약점 스캔
• 스캔 결과를 로그로 기록하여 분석 가능

통합 기능

• 외부 SIEM 플랫폼(예: Splunk, QRadar)과의 통합 지원
• OCI Functions를 사용한 사용자 정의 통합 가능

이러한 서비스들을 조합하여 포괄적인 SIEM 솔루션을 구축할 수 있습니다. 일반적인 아키텍처는 다음과 같습니다:

1. 로깅 서비스로 다양한 로그 수집
2. Service Connector Hub를 통해 로그를 스트리밍 서비스로 전송
3. Cloud Guard 이벤트도 스트리밍 서비스로 전송
4. 외부 SIEM 시스템이 스트리밍 서비스에서 데이터를 소비하여 분석

이 접근 방식을 통해 OCI 환경의 보안 이벤트를 중앙에서 모니터링하고 분석할 수 있으며, 기존 온프레미스 SIEM 솔루션과도 통합할 수 있습니다.