SIEM 필드 매핑에서 빠지기 쉬운 공급자별 타임스탬프 함정

공급자마다 epoch, ISO 문자열, 로컬 문자열을 혼용하면 정렬만으로는 이상 징후를 놓칩니다. 교육에서는 먼저 "정규화된 UTC" 하나로 모은 뒤, 표시용으로 KST를 파생하는 순서를 권장합니다. 둘째, 동일한 사건이 여러 소스에 찍힐 때 지연 분산이 생깁니다. 이 경우 상관 규칙이 아니라 수집 지연 허용 윈도를 문서화하는 편이 비용 대비 효과가 큽니다. 셋째, 윈도 이벤트 로그와 리눅스 syslog의 필드 이름이 다르더라도 의미 단위로 묶는 매핑 표를 유지해야 합니다. 현장에서는 "필드 매핑 표"가 버전 관리되지 않아 재발하는 문제가 많습니다. 변경 이력을 짧게라도 남기는 습관을 SIEM 상관분석 입문 과정 초반에 심어 두는 것이 이후 룰 튜닝 비용을 줄입니다.