사용자가 주도하는 SIEM의 미래

QRadar는 기존 온프레미스 솔루션을 그대로 옮긴 리프트앤시프트 버전으로, 대규모 데이터 인제스트 및 검색을 위해서는 추가 프로비저닝과 비용이 필요합니다.

Sumo Logic은 클라우드 네이티브 멀티테넌트 플랫폼으로, 고객 수요에 따라 아키텍처의 각 구성 요소를 즉시 확장 또는 축소할 수 있습니다.

QRadar는 로그, EDR, SIEM, SOAR 등 포괄적인 포트폴리오를 보유하지만, 구현이 복잡하고 비용이 많이 들며 종종 전문가 서비스가 필요합니다.

Sumo Logic은 로그, 메트릭, APM/트레이스, RUM 등의 옵저버빌리티와 보안 데이터 레이크, 감사 및 컴플라이언스, Cloud SIEM, Cloud SOAR 등의 보안에 유리하도록 통합된 형태의 플랫폼을 제공하고, 도구 역시 통합된 형태로 지원합니다.

QRadar on Cloud는 IBM 클라우드에서 실행 중인 QRadar 인스턴스에 연결하기 위해 데이터 게이트웨이 어플라이언스를 설치해야 합니다.

Sumo Logic은 플랫폼/벤더에 종속되지 않으며, 추가 하드웨어 없이도 온프레미스, 클라우드, 멀티클라우드 환경 전반에서 로그 및 보안 관련 데이터를 수집할 수 있습니다.

QRadar는 TIP이 통합되어 있지만, IBM Advanced Threat Protection Feed를 추가 비용으로 구매해야 합니다.

Sumo Logic은 CrowdStrike(OEM)를 활용하여 보안 이벤트에 위협 차원을 추가할 수 있도록 이를 기본 제공 통합 TIP의 형태로 제공합니다. 또한 Sumo Logic은 외부 인텔리전스 피드와도 통합할 수 있습니다.

QRadar에서는 모든 필드를 검색하기 전에 미리 파싱해야 합니다. 특정 필드가 미리 파싱되지 않았다면 키워드 검색에 어려움을 겪게 됩니다.

Sumo Logic은 사전에 정의된 스키마나 인덱스에 종속되지 않고, 데이터의 구조화 여부와 상관없이 모든 로그 데이터를 완전히 인덱싱하므로 빠른 가치 실현과 높은 유연성을 제공합니다.

QRadar는 직원 수(직원 1인당 1 EPS)를 기준으로 라이선스를 부여하며, 데이터 보존 기간은 30일입니다.

Sumo Logic은 단순한 크레딧 기반의 라이선스 모델을 제공하므로 예측 가능하고 유연하며, 사용자 수에 따라 요금이 부과되지 않고, 사용 사례에 따라 원활하게 확장할 수 있습니다.