보안 운영 센터 (SOC) & SIEM

별점: ★★★★★ | 기본 필수

답안.

Ⅰ. 개요

정의: 보안 이벤트를 24/7 모니터링하고 대응하는 조직 Tier 1 분석가: 경보 분류·초기 대응 Tier 2 분석가: 심화 조사, 인시던트 처리

Ⅱ. 핵심 구성요소

정의: 보안 이벤트를 24/7 모니터링하고 대응하는 조직

[SOC 계층]
Tier 1 분석가: 경보 분류·초기 대응
Tier 2 분석가: 심화 조사, 인시던트 처리
Tier 3 분석가: 위협 헌팅, 역공학, 포렌식
관리자: SOC 전략, 프로세스, 보고

[SOC 핵심 역할]
인시던트 탐지: SIEM 경보 모니터링
인시던트 대응: 격리, 복구, 분석
위협 헌팅: 선제적 위협 탐색
취약점 관리: 스캔, 우선순위, 추적

정의: 보안 로그를 수집·통합하여 위협 탐지·대응하는 플랫폼

[SIEM 핵심 기능]
로그 수집: 방화벽, IDS, AD, 앱 로그 통합
상관분석: 여러 이벤트를 조합하여 공격 탐지
경보: 임계값 기반, 행동 기반 알림
포렌식: 과거 로그 검색·분석
대시보드: 보안 현황 가시화

[주요 SIEM 제품]
Splunk SIEM: 가장 널리 사용
Microsoft Sentinel: 클라우드 네이티브 (Azure)
IBM QRadar: 엔터프라이즈
Elastic SIEM: 오픈소스 기반


해당 키워드의 기술적 구성요소와 동작 원리를 서술한다.

### Ⅲ. 특징 및 비교

핵심 기술의 장단점과 유사 기술과의 차이를 분석한다.

### Ⅳ. 적용 사례

실무 환경에서의 적용 사례와 기대효과를 제시한다.

### Ⅴ. 전망

최신 기술 동향과 향후 발전 방향을 서술한다.