AI 보안 기능
KYRA AI MDR은 보안 운영 워크플로우 전반에 걸쳐 고급 AI 기능을 통합하여 자동화된 분석, 조사 지원, 선제적 위협 탐지를 제공합니다.
개요
플랫폼은 3개의 핵심 AI agent를 활용하며, 각각 alert triage, incident response, threat hunting이라는 핵심 보안 영역에 집중합니다. 이 프레임워크는 확장 가능하여 플랫폼이 발전함에 따라 추가 전문 agent를 추가할 수 있습니다. 이 agent들은 함께 작동하여 alert를 분석하고, incident를 조사하며, 위협을 추적하고, 실행 가능한 인텔리전스를 제공하여 분석가의 업무 부담을 줄이고 대응 시간을 단축합니다.
AI Agent 역할
| Agent | 기능 |
|---|---|
| Threat Hunter | IOC 패턴 인식, MITRE ATT&CK 기법 매핑, 선제적 검색 |
| OSINT Investigator | 외부 인텔리전스 수집, 도메인/IP 강화, 평판 확인 |
| Incident Responder | Playbook 실행, 증거 수집, 차단 권고 |
| Vulnerability Researcher | 노출 스캔, 패치 우선순위 지정, 익스플로잇 위험 평가 |
| Forensic Analyst | 타임라인 재구성, 근본 원인 분석, 아티팩트 조사 |
| Compliance Auditor | 규제 매핑, 증거 추적, 컴플라이언스 갭 식별 |
| Malware Analyst | 정적/동적 분석 조율, sandbox 통합, 행위 분류 |
| Dark Web Monitor | 지하 포럼 추적, 침해 알림, 자격증명 노출 모니터링 |
| Strategic Intel | 캠페인 추적, APT 귀속, 지정학적 위협 컨텍스트 |
| Network Detective | 측면 이동 탐지, C2 패턴 식별, 네트워크 포렌식 |
| Identity Investigator | 사용자/엔티티 행위 분석, 권한 상승 탐지, 내부자 위협 식별 |
| Threat Research Lead | 다중 agent 조사 조율, 교차 도메인 분석 조정 |
AI 분석 작동 방식
비용 최적화 모델 라우팅
플랫폼은 분석 작업을 적절한 AI 모델 등급으로 지능적으로 라우팅합니다:
| 작업 유형 | 모델 등급 | 사용 사례 |
|---|---|---|
| Triage | Lightweight | 대량 alert 분류, 심각도 점수 산정, false positive 필터링 |
| Investigation | Standard | Alert 강화, 컨텍스트 분석, 패턴 매칭, IOC 상관분석 |
| Attribution | Advanced | APT 캠페인 귀속, 복잡한 incident 분석, 경영진 위협 브리핑 |
이 계층적 접근 방식은 복잡한 위협이 필요한 심층 분석을 받으면서도 비용을 예측 가능하게 유지합니다.
Agent 메모리
AI agent는 조사 전반에 걸쳐 컨텍스트를 유지합니다:
- 단기 메모리: 자동 만료가 있는 현재 조사 컨텍스트
- 작업 메모리: incident별 케이스 파일 및 증거 아티팩트
- 장기 메모리: 위협 인텔리전스 패턴, IOC 관계, 과거 공격 컨텍스트
- 집단 메모리: 조율된 조사를 위한 agent 간 공유 발견 사항
통합 포인트
데이터 소스
AI agent는 모든 연결된 소스의 데이터를 분석합니다:
- Log collector 이벤트 (firewall, EDR, syslog, Windows Events)
- NDR 네트워크 탐지
- Cloud sensor alert
- 서드파티 connector 데이터 (Splunk, CrowdStrike, Elastic)
- 외부 위협 인텔리전스 피드
출력
- 강화된 alert 컨텍스트 및 심각도 조정
- 조사 타임라인 및 근본 원인 분석
- 자동 playbook 권고
- 컴플라이언스 증거 매핑
- 경영진 대상 위협 보고서
위협 인텔리전스 통합
AI agent는 여러 위협 인텔리전스 소스를 활용합니다:
| 피드 | 사용 주체 |
|---|---|
| VirusTotal | Malware Analyst |
| Shodan | OSINT Investigator |
| MISP (커뮤니티 IOC) | Strategic Intel |
| Recorded Future | Strategic Intel |
| NVD / ExploitDB | Vulnerability Researcher |
| Abuse.ch | Threat Hunter |
교차 Agent 조율
복잡한 incident의 경우 Threat Research Lead가 다중 agent 조사를 조율합니다:
- 초기 Triage — Alert Triage agent가 심각도를 분류하고 관련 도메인을 식별합니다
- 병렬 분석 — 전문 agent가 동시에 조사합니다 (threat hunter + OSINT + network detective)
- 발견 사항 통합 — Research Lead가 agent 전반의 발견 사항을 종합합니다
- 대응 권고 — Incident Responder가 차단 및 복구 단계를 생성합니다
- 문서화 — Compliance Auditor가 발견 사항을 규제 요구사항에 매핑합니다
이 조율된 접근 방식은 분석가의 수동 조율 없이도 복잡한 위협이 모든 각도에서 분석되도록 보장합니다.