로그 소스 정의+파싱 규칙 표준화 방법론으로 결
SIEM 기반 로그 수집에서 가장 먼저 했던 것은 어떤 소스에서 어떤 로그를 가져올지 우선순위를 정하는 작업이었습니다. 모든 소스를 동시에 연결하면 파싱 오류가 뒤섞여 원인 파악이 어려워집니다. 소스별로 포맷이 다르기 때문에 파싱 규칙을 소스마다 분리해서 정의하고, 기본 필드(타임스탬프·소스 IP·이벤트 유형)를 통일하는 스키마를 먼저 설정하였습니다. 파싱 오류 발생 시 어느 소스에서 왔는지 즉시 확인할 수 있는 구조가 있어야 가시성 확보가 실질적으로 가능합니다. 실습 환경에서 소스를 순차적으로 연결하면서 각 단계에서 노이즈를 걸러내는 방법을 배웠습니다.
보안 가시성은 로그 양이 아니라 신호 품질에서 결정됩니다. 더 많이 수집하는 것보다 더 잘 정제하는 것이 중요하였습니다.