Arcsight SIEM 활용 방안

Arcsight SIEM 활용 방안

 

 

 

1. 비인가 접속 모니터링

-> DBA나 관리자 , 계약자 및 퇴직자와 같이 위험이 높은 사용자를 SIEM를 통해 모니터링

 

 

 

 

2. 역할 위반

-> 모니터링 및 사용자의 역할 또는 부서 외부 시스템 접근에 보고하고, 신분관리(IDM)를 통해 역할과 권한을 확정하여 응용 프로그램에 저장

 

 

3. 권한 있는 계정의 활동

-> 권한을 가진 계정의 사용을 모니터링

 

 

 

4. 임원 대시보드

-> 위험한 사용자의 캡처 및 위험한 부서로 그들을 집계한다.

 

 

 

5. 봇넷, 웜, 바이러스 공격 탐지

-> 행봉 분석을 통한 탐지

 

제우스 => 200개가 넘는 명령 제어 C&C 서버의 활동을 한 번에 검색할 수 있는 IP 리스트를 지원

스팸도메인 => JoeWein.de

취약점 조기 경고 => iDefense, DeepSight

의심스러운 IP 블랙리스트 => www.snans.org

활성화 된 명령 제어 C&C 서버 => mtc.sri.com