OS & network/cloud
Oracle Cloud 에서 제공하는 SIEM 보안 기능
김재벌
2024. 11. 12. 09:08
안녕하세요 테크넷 마스터 김재벌 입니다.
오라클 클라우드의 보안 기능에 대해서 간략하게 정리하는 시간을 가져보려고 합니다.
이중에서도 SIEM 에 대한 기능에 대해서 이번 포스팅에서는 정리해 보려고 합니다.
Oracle Cloud Infrastructure (OCI)는 보안 정보 및 이벤트 관리(SIEM) 기능을 위한 다양한 도구와 서비스를 제공합니다. OCI의 주요 SIEM 관련 기능은 아래와 같습니다.
Cloud Guard
Cloud Guard는 OCI의 핵심 보안 모니터링 및 대응 서비스입니다. 주요 기능:
- 지속적인 보안 상태 모니터링
- 보안 위협 탐지 및 자동 교정
- 사용자 정의 가능한 탐지기 및 응답기 규칙
- 이벤트를 외부 SIEM 시스템으로 내보내기 가능
로깅 서비스
- 다양한 OCI 서비스의 로그를 중앙 집중화
- 감사 로그, 서비스 로그, 사용자 지정 로그 등 수집
- 로그 데이터를 스트리밍 서비스로 전송 가능
스트리밍 서비스
- 로그 및 이벤트 데이터를 실시간으로 수집 및 처리
- 외부 SIEM 시스템과 통합하기 위한 Kafka 호환 인터페이스 제공
이벤트 서비스
- OCI 리소스의 상태 변경 이벤트 캡처
- 이벤트를 기반으로 자동화된 워크플로우 트리거 가능
Service Connector Hub
- 다양한 OCI 서비스 간 데이터 이동 오케스트레이션
- 로그 및 이벤트 데이터를 스트리밍 서비스나 외부 시스템으로 라우팅
취약점 스캐닝 서비스
- 컴퓨트 인스턴스 및 컨테이너의 취약점 스캔
- 스캔 결과를 로그로 기록하여 분석 가능
통합 기능
- 외부 SIEM 플랫폼(예: Splunk, QRadar)과의 통합 지원
- OCI Functions를 사용한 사용자 정의 통합 가능
이러한 서비스들을 조합하여 포괄적인 SIEM 솔루션을 구축할 수 있습니다. 일반적인 아키텍처는 다음과 같습니다:
- 로깅 서비스로 다양한 로그 수집
- Service Connector Hub를 통해 로그를 스트리밍 서비스로 전송
- Cloud Guard 이벤트도 스트리밍 서비스로 전송
- 외부 SIEM 시스템이 스트리밍 서비스에서 데이터를 소비하여 분석
이 접근 방식을 통해 OCI 환경의 보안 이벤트를 중앙에서 모니터링하고 분석할 수 있으며, 기존 온프레미스 SIEM 솔루션과도 통합할 수 있습니다.