머신 러닝 기반의 사이버 공격 및 내부자 위협 탐지
Splunk User Behavior Analytics UBA
특징 Features
지속적인 위협 모니터링 자동 실행
- 킬 체인(Kill chain)을 따라 위협을 시각화하고 증거를 제공
- 분석 기반의 워크플로우를 통해 비정상적인 행위를 조사하고, 정책 위반과 잠재적인 데이터 유출 의도를 확인
- Splunk Enterprise의 방대한 데이터를 활용하는 머신러닝, 통계 프로파일링, 기타 이상 탐지 기술 제공
내부자 이상 행위 및 위협 탐지
- 사용자 학습을 통한 UBA 모델 기반 사용자 정의
- 사용자가 별도의 룰을 입력하지 않아도 신규 공격 탐지 (약 2주의 학습 기간 필요)
자동 스코어링
- 머신러닝 기법과 고급 분석기능을 통한 내부 위협을 탐지
기능 Functions
UBA 대시보드
- 비정상적인 사용자, 장치, 애플리케이션에 대한 직관적인 통합 대시보드 제공
- 통합 대시보드 제공으로 사용자 위협을 드릴 다운 형태로 쉽고 빠르게 확인
- 조직 내 발견되는 위협을 시각화하여 높은 수준으로 요약
위협 검토 및 탐지
- 공격 기간 동안 관측된 이상 징후에 대해 사용자, 장치, 애플리케이션 정보를 모두 포함하여 표시
- 고급 연계분석, 셀프러닝, 머신러닝 등을 사용하여 주요 위협 식별
- 사용자 피드백 학습
킬 체인(Kill Chain) 탐지 및 공격 경로 파악
- 비정상적인 APT 및 보안 침해(예: CnC, Lateral Communication)와 같은 킬 체인 공격을 식별
- 멀웨어나 악의적인 내부자 확산의 패턴을 탐지하고, 이상 작동 발생 시 실시간으로 대응
사용자 중심의 이상 징후 모니터링
- 조직 내에서 프로파일링된 전체 사용자의 행동을 강조하여 표시
- 위협별로 사용자를 식별하고, 맵핑하여 시각화된 대시보드 제공
- 멀웨어 감염 사용자 계정 및 디바이스 상태를 Flow 차트로 제공
장점 Advantages
다양한 데이터 소스
- 보안 제품, 애플리케이션, 호스트/서버/기타 엔드포인트 디바이스 등 머신 데이터를 생성하는 모든 인프라에서 수집한 다양한 데이터 소스를 통해 공격과 위협에 대한 연계 분석 및 패턴 감지
보안 분석가의 업무 효율 향상
- 멀웨어 또는 악성 프로그램의 활동 및 이벤트 확인
- 지능형 위협 및 멀웨어 감염과 관련하여 해킹된 호스트 탐지
- 복잡한 상관 관계 룰을 생성할 필요 없이 새로운 위협을 모니터링
Splunk Enterprise Security(ES)와 연동 가능
- UBA 보안 도구와 보안 분석 툴이 결합함으로써 조직 내부에 대한 보안 기능 강화