Q
[질문] 보안 운영 중 여러 알림이 동시다발적으로 발생했을 때, 우선 대응해야 할 이벤트를 Splunk 내에서 자동으로 구분하고 분류하는 방법이 있을까요? 그 기준은 무엇으로 설정할 수 있나요?
A
일단 시나리오별로 위험등급을 정의하고 Critical 한 알림에 대해서 우선 대응 하고, 현재 로드맵으로 탐지 이벤트를 ML 을 이용하여 자동분류하는 기능은 구현 예정입니다.