Alert Triage AI는 수신되는 보안 alert를 자동으로 분석하고 위협 지표, 자산 중요도, 과거 패턴을 기반으로 우선순위 점수를 할당합니다. 이를 통해 가장 중요한 alert에 먼저 주의를 집중시켜 분석가의 업무 부담을 줄입니다.
주요 기능
- 다중 요소 점수 산정: 위협 지표, 자산 중요도, 사용자 컨텍스트, 환경 요소를 활용하여 alert에 점수를 부여합니다
- 컨텍스트 강화: 위협 인텔리전스 피드, 자산 인벤토리 데이터, 과거 패턴을 통한 자동 강화
- False Positive 감소: 알려진 false positive를 식별하고 억제하기 위한 과거 분석 및 패턴 매칭
- 자동 에스컬레이션: 특정 조건이 충족되면 더 높은 심각도 수준으로 에스컬레이션하는 규칙 기반 처리
- MITRE ATT&CK 매핑: alert를 MITRE ATT&CK 기법 및 전술에 자동 매핑
작동 방식
- Alert 수집 — 탐지 규칙, NDR, 연결된 보안 도구에서 새로운 alert가 triage 대기열에 진입합니다
- 컨텍스트 수집 — agent가 관련 컨텍스트를 수집합니다: 자산 중요도, 사용자 행위 이력, 관련 alert, 위협 인텔리전스
- 심각도 평가 — 다중 요소 분석을 통해 우선순위 점수와 권고 심각도 수준을 산출합니다
- 강화 — IOC 조회, MITRE 매핑, 유사 과거 alert로 alert를 강화합니다
- 라우팅 — 높은 우선순위 alert는 즉시 표면화되고, 낮은 우선순위 alert는 일괄 검토를 위해 대기합니다
점수 산정 요소
| 요소 | 가중치 | 설명 |
|---|
| Threat Intel 일치 | 높음 | 알려진 위협 데이터베이스 대비 IOC 일치 |
| 자산 중요도 | 높음 | 영향받는 자산의 비즈니스 중요도 |
| 과거 패턴 | 중간 | 이전에 확인된 위협과의 유사성 |
| 사용자 행위 | 중간 | 정상적인 사용자 패턴으로부터의 편차 |
| 환경 컨텍스트 | 낮음 | 시간대, 네트워크 위치, 동료 활동 |
서비스 티어별 기능
| 기능 | FREE | MDR | PRO | CUSTOM |
|---|
| 자동 Triage | Yes | Yes | Yes | Yes |
| AI 기반 분석 | 기본 점수 산정 | 전체 컨텍스트 | 전체 + 커스텀 모델 | 완전 커스터마이즈 |
| 커스텀 Triage 규칙 | No | No | Yes | Yes |
| 과거 분석 기간 | 7일 | 90일 | 180일 | 365일 이상 |
