SIEM(Security Information and Event Management)은결국 로그를 얼마나 잘 모으고, 정규화하고, 상관분석하느냐의 문제다.실제 구축 프로젝트를 진행해 보면솔루션 선택 이전에 로그 소스와 수집 구조를 어떻게 설계하느냐가운영 난이도와 탐지 품질을 거의 다 좌우한다.여기서는 SIEM 도입을 고민할 때실무에서 자주 체크했던 기준들을 정리해 본다.EPS보다 중요한 것, 어떤 이벤트를 언제까지 보관할 것인가SIEM 제안서를 받아보면 항상 EPS(Events Per Second) 숫자가 먼저 나온다.하지만 실제로는 EPS 총량보다어떤 이벤트를 얼마나 오래 보관해야 하는지가 더 중요했다.실무에서 먼저 정리했던 항목은 다음과 같다.규제·감사 요구사항:인증 로그, 중요 시스템 접근 로그를 ..