Q
질문) 일단 보안시스템 통합 로그 시스템(SIEM 등)이 있어야 SOAR 도입이 유의미 할 것으로 보이네요. 기본적인 네트워크 보안 인시턴트 뿐만 아니라 DLP 등 정보유출 탐지 로그를 SOAR를 적용할 경우 유의미한 이벤트(정보유출 행위 등)를 확인하는 것도 가능한지 궁금합니다.
A
SIEM을 건너띄고 적용가능할수도 있지 않을까요? (이건 저도 궁금하네요)
A
SIEM 없이도 가능은 합니다. 단, 이제품은 대용량 로그처리가 주목적은 아닙니다.
A
정보유출 행위 분석 팀에서도 사용은 가능한데요, 아직은 SIEM 기반으로 활용합니다.
A
정보유출 탐지 로그를 SIEM 형태로 통합로그로 가지고 있으면 가능한지요? 그리고 머신러닝 시스템의 종류는 어떤것을 사용하는지요?
A
내 이상징후탐지 분야에서도 검토 하시는 곳도 계십니다. 머신러닝은 자체적으로 몇가지 마이닝 기법을 활용합니다.