1. 왜 멀티클라우드 보안 로그를 이해해야 하는가멀티클라우드 SIEM 환경을 설계할 때 가장 먼저 부딪히는 문제는 로그는 비스해 보이지만, 실제로는 전혀 다르다는 점이다. AWS, Azure, GCP 모두 관리 행위에 대한 감사 로그를 제공하지만, 로그가 기록되는 단위, IAM 권한이 위임되는 방식, 권한 변경과 사용이 표현되는 구조가 서로 다르다. 이 차이를 이해하지 못한 채 로그를 단순 통합하면 탐지는 부정확해지고, 운영 비용만 증가한다.2. 멀티클라우드 보안 로그의 공통점과 한계공통점모두 관리 행위(Administrative Action)을 기록누가(Who), 언제(When), 무엇을(What) 했는지 남김IAM, 리소스 설정 변경, 정책 수정이 핵심 대상세 CSP 모두 보안 이벤트 로그를 "누가,..
Splunk
1. Why SPL Still Matters (and Why SPL2 Exists)Splunk Processing Language (SPL) is a stream-based, pipeline-oriented query language. It processes events sequentially, command by command, transforming a flowing stream of events into progressively smaller or more structured result sets. SPL2 does not replace SPL. It is about making intent and optimization explicit for large-scale analytics. Mental ..
Splunk TopologiesIn Splunk, choosing between a single-server deployment and a fully clustered architecture depends on several key factors: the volume of collected data, search concurrency, operational availability, and the long-term scalability of the system. To guide these decisions, Splunk provides the Splunk Validated Architecture (SVA) -- a set of well-designed, field-tested reference archit..
1. Why Splunk Architecture Matters in SIEM and DevSecOpsSplunk is often described as a Data-to-Everything platform, but in SIEM and DevSecOps environments, its real value comes from how it processes data at scale.Handling hundreds of gigabytes-or even terabytes-of logs per day is not just about collecting data. It requires : Predictable ingestion performanceFast and repeatable search executionCl..
