아직 답변이 없습니다
아직 답변이 없습니다
안녕하세요. Splunk 기본적으로 키=밸류 경우 자동으로 파싱이 됩니다. 다만 정형화 되어 있지 않는 데이터 경우는 엔지니어가 직접 필드 추출을 진행 해야 합니다.
아직 답변이 없습니다
1) 실제적용 예시: 클라우드 사이트 업로드 (주말) 2) 효과: 임직원 이상행위에 대한 모니터링 및 대응, 보안 교육의 효과보다는 훨씬 좋을 것으로 판단됩니다.
1) 지원부서 임직원이 개인정보 문서를 출력 2) 퇴사자 계정으로 SVPN 접속 성공 건 추출 3) 업무시간 外 DB에 접속한 사용자 탐지 (업무시간 外 : 공휴일및평일오후10시~오전6시)
Splunk 는 실시간 이상행위 탐지 시나리오를 구동함으로써 동작을 하고 있구요, 빅데이터 플랫폼으로 분산검색에 의한 빠른 탐지를 제공합니다.
Splunk Deep Learning Tookit(DSDL) 을 이용하여 DGA 등과 같은 위협에 대해서 탐지를 하고 있습니다. 물론 지도학습 ML 로도 탐지 할 수도 있습니다.
네, 알겠습니다. 답변 감사합니다.
1) 위험점수는 개인별로 탐지된 시나리오에 대해서 전체 대비 탐지된 시나리오 카운트 및 위험도 값과 추가적으로 시나리오별 가중치를 두고 계산하고 임계값은 설정하기 나름입니다. 2) Splnk UBA 에서는 비지도 학습 기반으로 Unknown Anomaly Detection 을 수행하여 이상행위를 탐지하고 있습니다. 자세한 내용이 필요하시면 영업을 통해서 UBA 소개 자료를 전달하겠습니다.
SOAR 플레이북 작성시 말씀하시는것으로 판단되고 보안장비에 Action 할 경우 Prompt 에 의한 담당자 개입없이 진행될 경우 오류가 발생 할 것으로 판단됩니다.
임계치라고 하면 룰기반을 말씀하시는것 같은데요, 알려진 룰과 ML 기반 탐지는 다른 것이라서 알려진 룰은 정확도가 높구요, ML 기반은 모델에 따른 차이가 있을것 같습니다.
감사합니당
Purple AI는 자동 점검 결과에 따라 긴급 상황에 대한 알람을 직접적으로 보내는 기능을 제공하지 않습니다. 그러나 SentinelOne의 플랫폼 내에서 자동화된 경고 및 알림 시스템을 설정할 수 있는 방법이 있습니다.
Purple AI는 AI 기반의 사이버 방어 솔루션으로, 학습된 공격 패턴을 기반으로 새로운 공격 시나리오를 예측하고 선제적으로 방어 전략을 수립하는 데 다음과 같은 방식으로 기여합니다. 고급 데이터 분석: Purple AI는 대량의 보안 데이터를 실시간으로 분석하여 과거의 공격 패턴을 학습합니다. 이를 통해 AI는 특정 공격 유형의 전개 방식, 사용되는 도구 및 기법(TTPs)을 인식하고, 새로운 공격 시나리오를 예측할 수 있습니다. 패턴 인식 및 예측 모델링: 머신러닝 알고리즘을 활용하여 Purple AI는 공격 패턴을 인식하고, 이를 기반으로 예측 모델을 구축합니다. 이러한 모델은 과거 데이터를 기반으로 미래의 공격 가능성을 평가하고, 특정 환경에서 발생할 수 있는 위협을 사전에 식별합니다. 위협 인텔리전스 통합: Purple AI는 다양한 위협 인텔리전스 소스에서 정보를 수집하고 분석하여 최신 공격 동향을 반영합니다. 이를 통해 AI는 현재의 위협 환경을 이해하고, 새로운 공격 시나리오에 대한 예측을 더욱 정확하게 수행할 수 있습니다. 자동화된 방어 전략 수립: AI는 예측된 공격 시나리오에 따라 자동으로 방어 전략을 수립하고 실행할 수 있습니다. 예를 들어, 특정 공격이 발생할 가능성이 높다고 판단되면, Purple AI는 해당 공격에 대한 방어 조치를 미리 설정하고, 필요한 경우 자동으로 실행할 수 있습니다. 상황 인식 향상: Purple AI는 보안 팀에게 실시간으로 상황 인식을 제공하여, 공격이 발생하기 전에 미리 대응할 수 있는 기회를 제공합니다. AI는 공격의 징후를 조기에 탐지하고, 보안 팀에게 경고를 보내어 선제적인 조치를 취할 수 있도록 합니다. 지속적인 학습 및 개선: Purple AI는 새로운 공격 패턴과 방어 전략을 지속적으로 학습하여, 시간이 지남에 따라 예측의 정확성을 높입니다. 이는 AI가 새로운 위협에 적응하고, 방어 전략을 개선하는 데 기여합니다.
AI SIEM은 많은 작업을 자동화하여 보안 팀의 효율성을 높일 수 있지만, 사람의 개입이 필요한 부분이 존재하며 복잡한 사건 조사, 정책 설정, 상황 판단 등은 보안 전문가의 경험과 지식이 필요합니다.
Purple AI는 많은 작업을 자동화하고 간소화하는 데 도움을 주지만, 여전히 메뉴 조작이나 명령어 입력이 필요한 작업들이 존재합니다. 다음은 Purple AI로 해결이 불가능한 작업의 몇 가지 예입니다: 1. 정책 및 설정 변경: 특정 보안 정책이나 설정을 변경하려면 관리 콘솔에서 직접 메뉴를 통해 조작해야 합니다. 예를 들어, 엔드포인트 보안 정책을 수정하거나 새로운 그룹을 생성하는 등의 작업은 Purple AI를 통해 수행할 수 없습니다. 2. 고급 쿼리 작성: 복잡한 쿼리나 특정 조건을 만족하는 쿼리를 작성해야 할 경우, 사용자가 직접 PowerQuery를 작성하거나 수정해야 할 수 있습니다. Purple AI는 자연어를 PowerQuery로 변환하지만, 사용자가 원하는 특정한 조건을 반영하기 위해서는 수동으로 조정이 필요할 수 있습니다. 3. 시스템 관리 작업: 에이전트 설치, 업데이트, 제거와 같은 시스템 관리 작업은 Purple AI를 통해 직접 수행할 수 없습니다. 이러한 작업은 관리 콘솔에서 수동으로 처리해야 합니다. 4.특정 데이터 소스에 대한 쿼리: Purple AI는 Okta 로그와 같은 특정 데이터 소스에 대한 질문을 처리할 수 있지만, 다른 데이터 소스에 대한 질문은 지원되지 않을 수 있습니다. 이 경우, 사용자는 해당 데이터 소스에 대한 쿼리를 수동으로 작성해야 할 수 있습니다.
Hyperautomation의 보정 메커니즘은 여러 가지 자동화 기술과 AI를 결합하여 보안 프로세스를 최적화하고, 오류를 줄이며, 효율성을 높이는 방식으로 작동합니다. (자동화된 워크플로우 / AI 기반 분석 / 실시간 피드백 루프 / 통합된 도구 및 시스템 / 사람의 개입 최소화 / 지속적인 개선)
아직 공공기관 납품사례는 없습니다. https://www.commoncriteriaportal.org/files/epfiles/569-LSS%20CT%20v1.0.pdf
센티넬원 총판 [email protected] 메일로 문의주시면 AI SIEM에 대해서 자료를 보내드리도록 하겠습니다.
센티넬원 총판 [email protected] 메일로 문의주시면 AI SIEM에 대해서 자료를 보내드리도록 하겠습니다.
아직 답변이 없습니다