웨비나속 Q&A

Splunk Deep Learning Tookit(DSDL) 을 이용하여 DGA 등과 같은 위협에 대해서 탐지를 하고 있습니다. 물론 지도학습 ML 로도 탐지 할 수도 있습니다.

바이텍씨스템 2025-06-19 14:11

네, 알겠습니다. 답변 감사합니다.

양성필 2025-06-19 14:17

1) 위험점수는 개인별로 탐지된 시나리오에 대해서 전체 대비 탐지된 시나리오 카운트 및 위험도 값과 추가적으로 시나리오별 가중치를 두고 계산하고 임계값은 설정하기 나름입니다. 2) Splnk UBA 에서는 비지도 학습 기반으로 Unknown Anomaly Detection 을 수행하여 이상행위를 탐지하고 있습니다. 자세한 내용이 필요하시면 영업을 통해서 UBA 소개 자료를 전달하겠습니다.

바이텍씨스템 2025-06-19 14:09

SOAR 플레이북 작성시 말씀하시는것으로 판단되고 보안장비에 Action 할 경우 Prompt 에 의한 담당자 개입없이 진행될 경우 오류가 발생 할 것으로 판단됩니다.

바이텍씨스템 2025-06-19 14:05

임계치라고 하면 룰기반을 말씀하시는것 같은데요, 알려진 룰과 ML 기반 탐지는 다른 것이라서 알려진 룰은 정확도가 높구요, ML 기반은 모델에 따른 차이가 있을것 같습니다.

바이텍씨스템 2025-06-19 14:02

감사합니당

신유진 2025-06-19 14:19

Purple AI는 자동 점검 결과에 따라 긴급 상황에 대한 알람을 직접적으로 보내는 기능을 제공하지 않습니다. 그러나 SentinelOne의 플랫폼 내에서 자동화된 경고 및 알림 시스템을 설정할 수 있는 방법이 있습니다.

센티넬원 담당자 2025-06-17 15:04

Purple AI는 AI 기반의 사이버 방어 솔루션으로, 학습된 공격 패턴을 기반으로 새로운 공격 시나리오를 예측하고 선제적으로 방어 전략을 수립하는 데 다음과 같은 방식으로 기여합니다. 고급 데이터 분석: Purple AI는 대량의 보안 데이터를 실시간으로 분석하여 과거의 공격 패턴을 학습합니다. 이를 통해 AI는 특정 공격 유형의 전개 방식, 사용되는 도구 및 기법(TTPs)을 인식하고, 새로운 공격 시나리오를 예측할 수 있습니다. 패턴 인식 및 예측 모델링: 머신러닝 알고리즘을 활용하여 Purple AI는 공격 패턴을 인식하고, 이를 기반으로 예측 모델을 구축합니다. 이러한 모델은 과거 데이터를 기반으로 미래의 공격 가능성을 평가하고, 특정 환경에서 발생할 수 있는 위협을 사전에 식별합니다. 위협 인텔리전스 통합: Purple AI는 다양한 위협 인텔리전스 소스에서 정보를 수집하고 분석하여 최신 공격 동향을 반영합니다. 이를 통해 AI는 현재의 위협 환경을 이해하고, 새로운 공격 시나리오에 대한 예측을 더욱 정확하게 수행할 수 있습니다. 자동화된 방어 전략 수립: AI는 예측된 공격 시나리오에 따라 자동으로 방어 전략을 수립하고 실행할 수 있습니다. 예를 들어, 특정 공격이 발생할 가능성이 높다고 판단되면, Purple AI는 해당 공격에 대한 방어 조치를 미리 설정하고, 필요한 경우 자동으로 실행할 수 있습니다. 상황 인식 향상: Purple AI는 보안 팀에게 실시간으로 상황 인식을 제공하여, 공격이 발생하기 전에 미리 대응할 수 있는 기회를 제공합니다. AI는 공격의 징후를 조기에 탐지하고, 보안 팀에게 경고를 보내어 선제적인 조치를 취할 수 있도록 합니다. 지속적인 학습 및 개선: Purple AI는 새로운 공격 패턴과 방어 전략을 지속적으로 학습하여, 시간이 지남에 따라 예측의 정확성을 높입니다. 이는 AI가 새로운 위협에 적응하고, 방어 전략을 개선하는 데 기여합니다.

센티넬원 담당자 2025-06-17 15:20

AI SIEM은 많은 작업을 자동화하여 보안 팀의 효율성을 높일 수 있지만, 사람의 개입이 필요한 부분이 존재하며 복잡한 사건 조사, 정책 설정, 상황 판단 등은 보안 전문가의 경험과 지식이 필요합니다.

센티넬원 담당자 2025-06-17 15:14

Purple AI는 많은 작업을 자동화하고 간소화하는 데 도움을 주지만, 여전히 메뉴 조작이나 명령어 입력이 필요한 작업들이 존재합니다. 다음은 Purple AI로 해결이 불가능한 작업의 몇 가지 예입니다: 1. 정책 및 설정 변경: 특정 보안 정책이나 설정을 변경하려면 관리 콘솔에서 직접 메뉴를 통해 조작해야 합니다. 예를 들어, 엔드포인트 보안 정책을 수정하거나 새로운 그룹을 생성하는 등의 작업은 Purple AI를 통해 수행할 수 없습니다. 2. 고급 쿼리 작성: 복잡한 쿼리나 특정 조건을 만족하는 쿼리를 작성해야 할 경우, 사용자가 직접 PowerQuery를 작성하거나 수정해야 할 수 있습니다. Purple AI는 자연어를 PowerQuery로 변환하지만, 사용자가 원하는 특정한 조건을 반영하기 위해서는 수동으로 조정이 필요할 수 있습니다. 3. 시스템 관리 작업: 에이전트 설치, 업데이트, 제거와 같은 시스템 관리 작업은 Purple AI를 통해 직접 수행할 수 없습니다. 이러한 작업은 관리 콘솔에서 수동으로 처리해야 합니다. 4.특정 데이터 소스에 대한 쿼리: Purple AI는 Okta 로그와 같은 특정 데이터 소스에 대한 질문을 처리할 수 있지만, 다른 데이터 소스에 대한 질문은 지원되지 않을 수 있습니다. 이 경우, 사용자는 해당 데이터 소스에 대한 쿼리를 수동으로 작성해야 할 수 있습니다.

센티넬원 담당자 2025-06-17 14:51

Hyperautomation의 보정 메커니즘은 여러 가지 자동화 기술과 AI를 결합하여 보안 프로세스를 최적화하고, 오류를 줄이며, 효율성을 높이는 방식으로 작동합니다. (자동화된 워크플로우 / AI 기반 분석 / 실시간 피드백 루프 / 통합된 도구 및 시스템 / 사람의 개입 최소화 / 지속적인 개선)

센티넬원 담당자 2025-06-17 15:03

아직 공공기관 납품사례는 없습니다. https://www.commoncriteriaportal.org/files/epfiles/569-LSS%20CT%20v1.0.pdf

센티넬원 담당자 2025-06-17 14:56

센티넬원 총판 [email protected] 메일로 문의주시면 AI SIEM에 대해서 자료를 보내드리도록 하겠습니다.

센티넬원 담당자 2025-06-17 14:52

센티넬원 총판 [email protected] 메일로 문의주시면 AI SIEM에 대해서 자료를 보내드리도록 하겠습니다.

센티넬원 담당자 2025-06-17 14:52

AI 기반 대응 자동화는 MTTD/MTTR 개선에 여러 가지 구체적인 성과를 보입니다. 탐지 속도 향상: AI는 대량의 데이터를 실시간으로 분석하여 비정상적인 행동을 신속하게 식별합니다. 자동화된 대응: AI 기반 자동화는 탐지된 위협에 대해 즉각적으로 대응할 수 있는 기능을 제공합니다. 우선순위 지정 및 경고: AI는 탐지된 위협의 심각성을 평가하고 우선순위를 지정하여 보안 팀이 가장 긴급한 위협에 먼저 대응할 수 있도록 합니다. 지속적인 학습과 개선: AI는 새로운 위협에 대한 데이터를 지속적으로 학습하고 업데이트하여 탐지 및 대응의 정확성을 향상시킵니다. 인적 오류 감소: AI 기반 자동화는 반복적이고 시간이 많이 소요되는 작업을 자동화하여 인적 오류를 줄입니다. 상황 인식 향상: AI는 다양한 데이터 소스에서 정보를 수집하고 분석하여 보안 팀의 상황 인식을 향상시킵니다. AI 기반 대응 자동화가 보안 운영의 효율성을 극대화하고, MTTD와 MTTR을 개선하는 데 중요한 역할을 합니다.

센티넬원 담당자 2025-06-17 14:51

SentinelOne의 AI는 새로운 위험에 대한 학습과 업데이트를 실시간으로 반영합니다. SentinelOne의 AI 기술은 다음과 같은 방식으로 작동합니다. 행동 기반 탐지: SentinelOne의 에이전트는 행동 패턴을 기반으로 위협을 탐지합니다. 이는 새로운 유형의 공격이나 변종에 대해서도 효과적으로 대응할 수 있도록 합니다. AI는 다양한 환경에서 수집된 데이터를 분석하여 악성 행동을 식별하고, 이를 통해 새로운 위협에 대한 인식을 높입니다. Storylines생성: SentinelOne의 AI는 위협의 맥락을 이해하기 위해 Storylines를 생성합니다. 이를 통해 보안 팀은 공격의 전개 과정을 시각적으로 파악하고, 보다 효과적으로 대응할 수 있습니다. 실시간 업데이트: SentinelOne의 AI는 클라우드 기반의 위협 인텔리전스를 활용하여 새로운 위협에 대한 정보를 실시간으로 업데이트합니다. 이는 최신 위협에 대한 방어를 강화하고, 기존의 방어 체계를 지속적으로 개선하는 데 기여합니다. 자동화된 대응: AI는 탐지된 위협에 대해 자동으로 대응할 수 있는 기능을 제공합니다. 이는 보안 팀이 수동으로 개입하지 않고도 신속하게 위협을 차단하고, 피해를 최소화할 수 있도록 합니다. 이러한 기능들은 SentinelOne이 최신 위협 환경에 적응하고, 고객의 보안을 강화하는 데 중요한 역할을 합니다. AI의 지속적인 학습과 업데이트는 보안 솔루션의 효과성을 높이는 데 필수적입니다.

센티넬원 담당자 2025-06-17 14:43

SentinelOne의 AI 기반 탐지는 다양한 보안 도메인(엔드포인트, 네트워크, 클라우드) 간 상관 분석을 통해 위협을 보다 효과적으로 탐지하고 대응합니다. 이 과정은 다음과 같은 방식으로 이루어집니다: 1. 다양한 데이터 소스 통합: SentinelOne은 엔드포인트, 네트워크, 클라우드 환경에서 발생하는 데이터를 수집합니다. 이를 통해 각 도메인에서 발생하는 이벤트와 로그를 통합하여 전체적인 보안 상태를 파악할 수 있습니다. 2. AI 및 머신러닝 엔진 활용: SentinelOne의 AI 엔진은 수집된 데이터를 분석하여 비정상적인 행동 패턴을 식별합니다. 머신러닝 알고리즘은 과거의 공격 패턴과 비교하여 새로운 위협을 탐지하는 데 도움을 줍니다. 이 과정에서 AI는 각 도메인에서 발생하는 이벤트 간의 상관관계를 분석하여 위협의 근본 원인을 파악합니다. 3. 상관 분석 및 인사이트 제공: 다양한 도메인에서 수집된 데이터는 상관 분석을 통해 연결됩니다. 예를 들어, 엔드포인트에서 감지된 악성 프로세스가 클라우드 환경에서의 비정상적인 활동과 연결될 수 있습니다. 이러한 상관 관계를 통해 보안 팀은 위협의 범위와 영향을 보다 명확하게 이해할 수 있습니다. 4.자동화된 대응 및 복구: SentinelOne은 탐지된 위협에 대해 자동으로 대응할 수 있는 기능을 제공합니다. 예를 들어, 특정 행동이 악성으로 식별되면 해당 프로세스를 차단하거나 격리할 수 있습니다. 이러한 자동화된 대응은 보안 팀이 신속하게 위협에 대응할 수 있도록 도와줍니다. 5.단일 대시보드 제공: SentinelOne의 통합 플랫폼은 모든 보안 도메인에 대한 가시성을 제공합니다. 보안 팀은 단일 대시보드를 통해 엔드포인트, 네트워크, 클라우드에서 발생하는 이벤트를 실시간으로 모니터링하고 분석할 수 있습니다. 이를 통해 보다 효과적인 의사 결정을 내릴 수 있습니다.

센티넬원 담당자 2025-06-17 15:02

AI Security Automation은 실시간 위협 탐지 및 대응 속도에 여러 가지 영향을 미칩니다. 신속한 위협 탐지: AI는 대량의 데이터를 실시간으로 분석하여 비정상적인 행동이나 패턴을 신속하게 식별합니다. 이는 전통적인 방법보다 훨씬 빠르게 위협을 탐지할 수 있게 하여, 보안 팀이 즉각적으로 대응할 수 있는 기회를 제공합니다. 자동화된 대응: AI Security Automation은 탐지된 위협에 대해 자동으로 대응할 수 있는 기능을 제공합니다. 예를 들어, 악성 소프트웨어가 발견되면 AI는 즉시 해당 프로세스를 차단하거나 격리할 수 있습니다. 이는 수동 개입 없이도 신속한 대응을 가능하게 하여 피해를 최소화합니다. 지속적인 학습: AI는 새로운 위협에 대한 데이터를 지속적으로 학습하고 업데이트합니다. 이를 통해 AI는 시간이 지남에 따라 더욱 정교해지고, 새로운 공격 기법에 대한 인식을 높여 실시간 탐지 및 대응의 정확성을 향상시킵니다. 위협 우선순위 지정: AI는 탐지된 위협의 심각성을 평가하고 우선순위를 지정할 수 있습니다. 이를 통해 보안 팀은 가장 긴급한 위협에 먼저 대응할 수 있으며, 자원을 효율적으로 배분할 수 있습니다. 인간의 개입 최소화: AI Security Automation은 반복적이고 시간이 많이 소요되는 작업을 자동화하여 보안 분석가가 더 복잡한 문제에 집중할 수 있도록 합니다. 이는 전체적인 보안 운영의 효율성을 높이고, 인적 오류를 줄이는 데 기여합니다. 상황 인식 향상: AI는 다양한 데이터 소스에서 정보를 수집하고 분석하여 보안 팀에 대한 상황 인식을 향상시킵니다. 이는 보안 팀이 위협의 맥락을 이해하고, 보다 효과적으로 대응할 수 있도록 돕습니다. 이러한 영향들은 AI Security Automation이 보안 운영 센터(SOC)의 효율성을 극대화하고, 실시간으로 위협에 대응하는 능력을 향상시키는 데 중요한 역할을 한다는 것을 보여줍니다.

센티넬원 담당자 2025-06-17 14:46

SentinelOne EDR 데이터의 보존 기간은 14일이며 이 기간은 최대 1년까지 연장이 가능합니다. 추가적으로 third-party 솔루션의 로그 수집은 SentinelOne EDR 라이선스를 사용하시면 하루 10GB 를 제공해드리며, 이 역시 유료로 연장이 가능합니다.

센티넬원 담당자 2025-06-17 14:35