Q
[질문] 1) Splunk를 활용해 내부자 위협을 실시간 모니터링하는 과정에서, 단순 이상행위 탐지를 넘어 어떤 방식으로 위험 점수를 산정하고, 어떤 임계값에서 자동 대응(SOAR 연계 등)을 트리거하시나요? 2) AI 기반 공격 시나리오(예: ChatGPT 악용 피싱, 자동화된 취약점 스캐닝 등)에 대해 Splunk에서 실시간으로 탐지하고 대응하기 위해 어떤 탐지 로직(규칙 기반 vs 비지도 학습 기반)을 주로 적용하고 계신가요? 실전에서 효과가 있었던 사례가 있는지요 ?
A
1) 위험점수는 개인별로 탐지된 시나리오에 대해서 전체 대비 탐지된 시나리오 카운트 및 위험도 값과 추가적으로 시나리오별 가중치를 두고 계산하고 임계값은 설정하기 나름입니다. 2) Splnk UBA 에서는 비지도 학습 기반으로 Unknown Anomaly Detection 을 수행하여 이상행위를 탐지하고 있습니다. 자세한 내용이 필요하시면 영업을 통해서 UBA 소개 자료를 전달하겠습니다.