은
조사완료 시간, 즉 MTTR을 약 50% 단축했습니다.
이는 그 자체 로 놀라운 성과이며, 기존 SIEM으로는 결코 달성할 수 없는 성과입니다.
Vertiv의 모든 보안 분석 필요 데이터 수용 :
20개 이상의 데이터 소스로 부터 2200%의 더 많은 데이터를 분석하고 3배 이상의 이벤트가 발생
. . . .
왜 보안운영 환경에 변화가 필요할까요?
보안 사각지대 초래
모든 데이터를 저장하고 분석할 수 없어 보안상의 취약점이 발생합니다.
01
효과적인 탐지룰 생성의 어려움
효과적인 탐지 환경을 구축하기 어려우며 너무 많은 오탐/미탐이 발생합니다.
04
비용 제약 발생
필요한 모든 데이터를 수집하는 데에는 비용이 많이 들기 때문에 불가능합니다.
02
수동 업무로 위협대응 지연
보안팀의 수동 대응 업무프로세스로 인해 위협에 대한 즉각적인 대응에 한계점이 존재합니다.
05
데이터 검색 시 너무 오랜 시간 필요
보안 이벤트 (Alert)를 조사하기 위한 검색 시 너무 오랜 시간이 소요됩니다.
03
보안전문 인력의 부족
모든 보안 운영환경을 제대로 수행하기 위한 충분히 숙련된 보안 엔지니어의 부족
06
위협 인텔기반의 유기적인 데이터
가시성 제공
모든 로그 및 보안 이벤트를 통일된 데이터 모델(UDM) 형태로 저장하고 데이터 관계성을 강화해서 사각지대 제거 (12개월 핫 데이터)
구글의 최신 위협 인텔리전스를 기업의 고유 보안 데이터와 결합시키고 ML 기반의 위협 우선순위를 도출하여 중요한 위협에 집중
맨디언트의 최전방 침해 조사에서 확인된 잠재적 능동 침해 위협을 거의 실시간으로 통보
# Multi & Hybrid Cloud 데이터
# 통합 데이터 모델 (UDM-Unified Data Model)
# 최전방 침해 조사 IOC와 공격자 정보 결합
# Virus Total + Mandian
검증된 경험을 바탕으로 하는
위협탐지
구글의 전문 탐지 룰을 활용해서 최신 위협을 효율적으로 탐지하고 MITRE ATT&CK과 매핑
YARA-L로 탐지룰 생성을 간소화하여 기업 보안
운영환경에 맞는 위협 탐지룰 개발
맨디언트가 침해 현장에서 조사하고 발견한 위협 정보를 수신하여 내부의 잠재 위협과 매치시켜 침해가 발생하기 전에 위협 경보를 생성
ASM(attack surface management)와 통합하여 공격자가 접근 가능한 잠재적 악용 엔트리 포인트 파악
구글검색 방식으로
위협 이벤트 분석
분석 시각 개체의 시각화, 위협 인텔리전스 인사이트, 사용자 정보로 실시간 활동 분석
이상 자산 및 도메인 확산을 포함, 전체 맥락을 손끝에서 파악하면서 조사
페타바이트 규모의 데이터를 초 단위 속도로 검색
“Google search”
고유의 위협 중심의 케이스 관리(threat-centric case management)로 업무 관리, 우선순위 정의 및 할당
전체 TDIR work flow에 걸친 통합된 경험으로 개체, 탐지, 이벤트, 경보, 케이스 사이를 매끄럽게 전환
즉각적이면서 효과적인 침해 대응
완전한 성능을 갖춘 직관적 playbook builder와 300+ Integration Apps으로 답변의 일관성을 확보하고 반복적 작업 자동화
동료 분석가, 서비스 제공 업체, 그 외 이해관계자 와 모든 케이스를 위해 쉽게 협력
SOC 내/외부의 이해관계자(법무, PR, HR)와 안전 한 “war-room”에서 보안 사고에 대응
# 플레이북 시뮬레이션 기능
# IDE (Integrated Development Environment) # App Module에 대한 버전 관리 기능
현대화된 SecOps로
SOC의생산성 향상
데이터를 자연어로 검색, 반복 및 드릴 다운 Duet AI가 기반 쿼리를 생성하고 완전히 매핑된 syntax 제시
케이스 진행 상황에 대한 AI 생성 요약과 대응권 고 방안을 활용해서 보다 효과적으로 조사 수행
위협 인텔리전스(TI), SIEM(UEBA), SOAR, AI를 통합하여 탐지/조사/분석의 효율성 및 대응의 신속성을 향상 (단일 플랫폼의 TDIR 구현)
[출시 예정] 맥락을 인지하는 AI 기반 자연어를 이 용해서 Chronicle과 상호작용, detections & playbooks 생성 역량 포함
. . . .
For key points
AI Powered Modern SIEM Chronicle
Threat Detection, Investigation & Response Platform
01
보안 사각지대 제거(Google Scale, Speed)
인프라 확장에 대한 제약 없이 필요한 모든 보안 텔레미터리를 수집하고 데이터 관계 강화를 통한 데이터 연계분석, 1년 핫데이터 형태로 빠른 분석을 가능하도록 환경 구성 (페타바이트 규모의 즉각적인 분석)
02
즉각 활용 가능한 위협 인텔리전스 통합
로그 수집 단계부터 메타데이터에 즉각적인 위협 인텔리전 데이터 통합/ VT, MATI & GCTI를 통해서 생성된 알람의 자동화된 위협 분류 (Duet AI)
03
구글의 노하우를 활용한 탐지능력 강화
구글의 데이터 규모에 대한 빠른 검색 및 구글의 전문 보안팀이 생성하고 관리하는 Yara-L 기반의 보안 룰을 기업 보안 환경에 활용(탐지&운영 관리 어려움 해소)
04
단일 통합 보안운영 플랫폼 제공 (AI기반)
Duet AI의 위협 요약 및 대응 가이드 제공 / 위협 중심의 케이스관리를 통해 분석가를 위한 선제적 및 사후적 액션을 위한 워크 플로우(플레이북) 제공