SIEM을 구성하는 대표적인 방법은 AWS이다. 하지만 클라우드 내부 서비스가 아닌 외부 SIEM으로 Splunk, Datadog도 존재한다.

Splunk는 machine data를 수집/저장/검색/시각화해서 운영 상태를 분석하고 보안 위협을 감지할 수 있는 로그 분석 플랫폼이다. Forwarder -> Indexer -> Search Head의 3계층 구조로 이루어져 있다. 14일동안 무료로 사용할 수 있다. 설치하면 이런 메인 화면.

Audit Trail Dashboard

모바일 어플리케이션도 존재한다. 전반적으로 ux가 굉장히 잘 되어있는 느낌.

*참고: 인덱스 수명 관리