Q
[질문] 무시되는 경보의 가장 큰 이유는 과탐이 너무 많을 경우, 몇 개는 무시할 수 밖엔 없는데, 탐지의 효율은 그대로 유지하면서 이의 문제 역시 해결할 수 있다는 말씀인지요?
A
안녕하세요. Splunk 에서는 RBA(Risk Based Alerting)이라는 기능을 통해 수집된 경보를 사용자 / 디바이스 기준으로 묶어서 사고(Incident)로 알려줍니다. 이를 통해 과탐이 있더라도 특정 사용자/디바이스에서 발생한 중요 사건들이 점수화 되어 높은 점수의 적은 사건으로 표현되게 됩니다. 보다 자세한 내용은 추가 소개 세션을 요청해 주시면 도움드리겠습니다.